CVE-2026-34981

Name of the Vulnerable Software and Affected Versions whisperX versões 0.3.1 através de 0.5.0

Description A API whisperX, uma ferramenta para aprimorar e analisar conteúdo de áudio, apresenta uma falha na função FileService.download from url() dentro de app/services/file service.py. Esta função usa requests.get(url) sem validação adequada da URL. A verificação da extensão do arquivo é realizada após a solicitação HTTP, permitindo a contornar anexando '.mp3' a URLs internas. O endpoint /speech-to-text-url é acessível sem autenticação.

Recommendations Atualize para a versão 0.6.0 ou posterior.