CVE-2024-47164

Versões do Gradio anteriores à 5.0

Este problema está relacionado à contornagem das verificações de traversal de diretório dentro da função is in or equal. A função, destinada a verificar se um arquivo está localizado em um determinado diretório, pode ser contornada com certas cargas que manipulam caminhos de arquivos usando sequências .. (diretório pai). Os invasores poderiam potencialmente acessar arquivos restritos se conseguissem explorar essa falha, embora a dificuldade seja alta. Isso afeta principalmente os usuários que dependem da lista de bloqueio ou da validação de acesso a diretórios do Gradio, especialmente ao lidar com uploads de arquivos.

Para resolver este problema, atualize para gradio>=5.0.

Como solução temporária, os usuários podem sanitizar e normalizar manualmente os caminhos de arquivo em sua implantação do Gradio antes de passá-los para a função is in or equal, garantindo que todos os caminhos de arquivo sejam resolvidos corretamente e sejam absolutos para mitigar as vulnerabilidades de contorno causadas pelo tratamento inadequado de sequências .. ou caminhos malformados.