CVE-2024-47084

Versões do Gradio anteriores à 4.44

Este problema está relacionado à validação de origem CORS, em que o servidor Gradio não consegue validar a origem da solicitação quando um cookie está presente. Isso permite que o site de um invasor faça solicitações não autorizadas a um servidor Gradio local. Potencialmente, os invasores podem fazer upload de arquivos, roubar tokens de autenticação e acessar dados do usuário se a vítima visitar um site malicioso enquanto estiver conectada ao Gradio. Isso afeta usuários que implantaram o Gradio localmente e usam autenticação básica.

Para resolver este problema, recomenda-se que os usuários atualizem para o Gradio >= 4.44.

Como solução alternativa temporária, os usuários podem aplicar manualmente uma validação de origem CORS mais rigorosa, modificando a classe CustomCORSMiddleware no código do servidor Gradio local, especificamente ignorando a condição que dispensa a validação CORS para solicitações contendo cookies, a fim de evitar possíveis explorações.