PT-2024-32860 · Gradio · Gradio
Ahpaleus
+1
·
Publicado
2024-10-10
·
Atualizado
2024-10-17
·
CVE-2024-47869
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Gradio anteriores à 4.44
Descrição
Este problema envolve um ataque de temporização na forma como o Gradio compara hashes para a função
analytics dashboard. Como a comparação não é feita em tempo constante, um invasor poderia explorar essa vulnerabilidade medindo o tempo de resposta de diferentes solicitações para inferir o hash correto byte a byte. Isso pode levar ao acesso não autorizado ao painel de análise, especialmente se o invasor puder consultar repetidamente o sistema com chaves diferentes.Recomendações
Para mitigar este problema, atualize para a versão 4.44 ou posterior do Gradio.
Como solução temporária, os desenvolvedores podem corrigir manualmente o painel
analytics dashboard para usar uma função de comparação em tempo constante ao comparar valores confidenciais, como hashes.Alternativamente, o acesso ao painel de análise pode ser desativado para minimizar o risco de exploração.
Exploit
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gradio