CVE-2026-28416

Nome do Software Vulnerável e Versões Afetadas Versões do Gradio anteriores à 6.6.0

Descrição O Gradio é um pacote Python para prototipagem rápida. Existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) no Gradio que permite a um atacante iniciar solicitações HTTP arbitrárias a partir do servidor da vítima. Isso é possível ao hospedar um Gradio Space malicioso e utilizar a função gr.load() para carregar conteúdo controlado pelo atacante. O proxy url malicioso da configuração é então considerado confiável e adicionado a uma lista de permissões (allowlist), potencialmente concedendo acesso a serviços internos, endpoints de metadados de nuvem e redes privadas por meio da infraestrutura da vítima.

Recomendações Atualize para a versão 6.6.0 ou superior.