CVE-2024-8966

Nome do Software Vulnerável e Versões Afetadas gradio-app/gradio versão @gradio/video@0.10.2

Descrição Um ataque de Negação de Serviço (DoS) é possível devido a uma vulnerabilidade no processo de upload de arquivos. Um invasor pode anexar uma grande quantidade de caracteres ao final de um boundary multipart, fazendo com que o sistema processe continuamente cada caractere e emita avisos. Isso pode tornar o Gradio inacessível por períodos prolongados, interrompendo serviços e causando indisponibilidade significativa.

Recomendações Para a versão @gradio/video@0.10.2, considere restringir o tamanho dos uploads de arquivos ou o número de caracteres permitidos em boundaries multipart para evitar processamento excessivo e avisos. Como medida temporária, considere implementar limitação de taxa (rate limiting) ou validação de entrada para minimizar o risco de exploração.