CVE-2024-47867

Versões do Gradio anteriores à 5.0

Este problema está relacionado à ausência de verificação de integridade no cliente FRP baixado, o que poderia permitir que invasores introduzissem código malicioso. Se um invasor obtiver acesso à URL remota da qual o cliente FRP é baixado, ele poderá modificar o binário sem ser detectado, já que o servidor Gradio não verifica a soma de verificação ou a assinatura do arquivo. Qualquer usuário que utilize o mecanismo de compartilhamento do servidor Gradio para baixar o cliente FRP pode ser afetado por este problema, especialmente aqueles que dependem do binário executável para o tunelamento seguro de dados.

Para resolver o problema, atualize para gradio>=5.0, que inclui uma correção para verificar a integridade do binário baixado. Como solução alternativa temporária, os usuários podem validar manualmente a integridade do cliente FRP baixado, implementando a verificação de checksum ou assinatura em seu próprio ambiente para garantir que o binário não tenha sido adulterado.