PT-2026-44008 · Gradio · Gradio
Yu Sun
·
Publicado
2026-05-27
·
Atualizado
2026-06-02
·
CVE-2026-48545
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Gradio versões anteriores a 6.15.0
Description
Um problema de injeção de cookie existe devido a um cliente HTTP de nível de módulo compartilhado, utilizado por todos os usuários no endpoint de proxy reverso. Isso permite que atacantes remotos que controlam qualquer HF Space retornem um cookie de domínio pai. O cliente compartilhado armazena esse cookie e o reproduz automaticamente em solicitações de proxy subsequentes para outros Spaces legítimos, permitindo a fixação de sessão entre Spaces para todos os usuários da mesma implantação do Gradio.
Recommendations
Atualize para a versão 6.15.0 ou posterior.
Exploit
Correção
Session Fixation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gradio