CVE-2024-4253

Versões do @gradio/video até a 0.6.12, inclusive

Existe uma vulnerabilidade de injeção de comando no repositório gradio-app/gradio, especificamente no fluxo de trabalho ‘test-functional.yml’. Essa vulnerabilidade surge devido à neutralização inadequada de elementos especiais usados em um comando, permitindo a modificação não autorizada do repositório base ou a exfiltração de segredos. A falha está presente no tratamento das informações de contexto do GitHub pelo fluxo de trabalho, onde ele exibe o nome completo do repositório principal, do ramo principal e da referência do fluxo de trabalho sem a devida sanitização. Isso poderia potencialmente levar à exfiltração de segredos confidenciais, como GITHUB TOKEN, COMMENT TOKEN e CHROMATIC PROJECT TOKEN.

Para versões até e incluindo a 0.6.12, atualize para uma versão posterior à 0.6.12 para resolver o problema. Como solução temporária, considere restringir o acesso ao fluxo de trabalho ‘test-functional.yml’ para minimizar o risco de exploração. Evite usar segredos confidenciais, como GITHUB TOKEN, COMMENT TOKEN e CHROMATIC PROJECT TOKEN, no fluxo de trabalho até que o problema seja resolvido.