CVE-2026-27167

Nome do Software Vulnerável e Versões Afetadas Gradio versões 4.16.0 a 6.5.9

Descrição O Gradio é um pacote Python para prototipagem rápida. Aplicações que não estão hospedadas no Hugging Face Spaces, versões 4.16.0 a 6.5.9, manipulam incorretamente componentes OAuth como gr.LoginButton. Acessar o endpoint da API /login/huggingface dispara um processo no qual o servidor recupera e armazena seu token de acesso do Hugging Face em um cookie de sessão. Este cookie, assinado com um segredo embutido ("-v4"), pode ser decodificado por atacantes remotos, possivelmente levando ao roubo de credenciais. O processo vulnerável ocorre quando uma aplicação está acessível em uma rede.

Recomendações Atualize para a versão 6.6.0 do Gradio ou posterior.