PT-2024-32864 · Gradio · Gradio
Ahpaleus
+1
·
Publicado
2024-10-10
·
Atualizado
2024-10-17
·
CVE-2024-47872
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Gradio anteriores à 5
Descrição
Este problema envolve Cross-Site Scripting (XSS) em qualquer servidor Gradio que permita o envio de arquivos. Usuários autenticados podem fazer upload de arquivos como HTML, JavaScript ou SVG contendo scripts maliciosos. Quando outros usuários baixam ou visualizam esses arquivos, os scripts são executados em seus navegadores, permitindo que invasores realizem ações não autorizadas ou roubem informações confidenciais de suas sessões. Isso afeta qualquer servidor Gradio que permita o upload de arquivos, particularmente aqueles que utilizam componentes que processam ou exibem arquivos enviados pelos usuários.
Recomendações
Atualize para o Gradio>=5 para resolver este problema.
Como solução temporária, restrinja os tipos de arquivos que podem ser enviados para o servidor Gradio, limitando os envios a tipos de arquivos não executáveis, como imagens ou texto.
Implemente validação do lado do servidor para sanitizar os arquivos enviados, garantindo que arquivos HTML, JavaScript e SVG sejam tratados adequadamente ou rejeitados antes de serem armazenados ou exibidos aos usuários.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gradio