CVE-2024-47872 in GradioИнформация

Сводка

по VulDB • 02.06.2026

Gradio — это пакет Python с открытым исходным кодом, предназначенный для быстрого прототипирования. Данная уязвимость представляет собой **Межсайтовый скриптинг (XSS)** на любом сервере Gradio, который позволяет загружать файлы. Аутентифицированные пользователи могут загружать такие файлы, как HTML, JavaScript или SVG-файлы, содержащие вредоносные сценарии. Когда другие пользователи скачивают или просматривают эти файлы, скрипты выполняются в их браузере, что позволяет злоумышленникам выполнять несанкционированные действия или красть конфиденциальную информацию из их сеансов. Это затрагивает любые серверы Gradio, позволяющие загружать файлы, особенно те, которые используют компоненты для обработки или отображения файлов, загруженных пользователями. Пользователям рекомендуется обновиться до версии `gradio>=5`, чтобы устранить эту проблему. В качестве временного решения пользователи могут ограничить типы файлов, которые можно загружать на сервер Gradio, разрешив загрузку только неисполняемых типов файлов, таких как изображения или текст. Кроме того, разработчики могут внедрить проверку на стороне сервера для очистки загружаемых файлов, обеспечивая правильную обработку или отклонение HTML-, JavaScript- и SVG-файлов перед их сохранением или отображением пользователям.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

04.10.2024

Раскрытие

11.10.2024

Модерация

принято

Вход

VDB-280044

EPSS

0.00252

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!