CVE-2024-47165

Versões do Gradio anteriores à 5.0

Este problema está relacionado à validação de origem CORS, que aceita uma origem nula. Quando um servidor Gradio é implantado localmente, a variável localhost aliases inclui “null” como uma origem válida, permitindo que invasores façam solicitações não autorizadas a partir de iframes em sandbox ou outras fontes com origem nula. Isso pode levar ao roubo de dados, como tokens de autenticação de usuário ou arquivos enviados, afetando especialmente usuários que executam o Gradio localmente e utilizam autenticação básica.

Para resolver este problema, atualize para gradio>=5.0.

Como solução alternativa temporária, modifique manualmente a lista localhost aliases na implantação local do Gradio para excluir “null” como origem válida, mitigando o risco de exploração.