PT-2026-22414 · Gradio · Gradio

Logicx24

·

Publicado

2026-02-27

·

Atualizado

2026-03-05

·

CVE-2026-28415

CVSS v3.1

4.7

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do Gradio anteriores à 6.6.0
Descrição O Gradio é um pacote Python para prototipagem rápida. Existe uma falha no fluxo OAuth onde a função redirect to target() não valida corretamente o parâmetro de consulta target url. Isso permite redirecionamento para URLs externas arbitrárias via endpoints de API /logout e /login/callback quando o OAuth está habilitado.
Recomendações Atualize para a versão 6.6.0 ou posterior.

Exploit

Correção

Open Redirect

Use of Insufficiently Random Values

Information Disclosure

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-601CWE-330CWE-200CWE-284

Identificadores relacionados

CVE-2026-28415
GHSA-PFJF-5GXR-995X
PYSEC-2026-65

Produtos afetados

Gradio