CVE-2024-47868

Versões do Gradio anteriores à 5.0

Esta vulnerabilidade diz respeito à validação de dados e afeta vários componentes do Gradio, permitindo o vazamento de arquivos arbitrários durante a etapa de pós-processamento. Os invasores podem explorar esses componentes criando solicitações que contornam as restrições de entrada esperadas. Isso pode levar à exposição de arquivos confidenciais a usuários não autorizados, especialmente quando combinado com outras vulnerabilidades. Os componentes de maior risco são aqueles que retornam ou processam dados de arquivos, incluindo String para FileData, dados complexos para FileData, leitura direta de arquivos no pré-processamento e componentes de dicionário convertidos para FileData. Os cenários de exploração incluem contornar as entradas permitidas para baixar arquivos confidenciais ou criar cargas maliciosas para vazar arquivos confidenciais de um servidor.

Para versões do Gradio anteriores à 5.0, atualize para a versão mais recente para mitigar esta vulnerabilidade. Não há soluções alternativas conhecidas para esta vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso a componentes vulneráveis, como DownloadButton, Audio, ImageEditor, Video, Model3D, File, UploadButton, Chatbot, MultimodalTextbox, Code, ParamViewer e Dataset, até que um patch esteja disponível. Evite usar esses componentes para lidar com ou retornar dados de arquivos até que o problema seja resolvido.