PT-2026-54771 · Gradio · Gradio
Abidlabs
·
Publicado
2026-07-01
·
Atualizado
2026-07-02
·
CVE-2026-49119
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Gradio versões anteriores a 6.16.0
Description
Um problema de traversal de caminho existe na função
preprocess() do componente FileExplorer. Atacantes não autenticados podem escapar do diretório raiz configurado fornecendo segmentos de caminho que incluam caminhos absolutos ou sequências de traversal de diretório. Isso ocorre porque a função os.path.join pode descartar o prefixo root dir ao processar esses segmentos manipulados, resultando na leitura arbitrária de arquivos ou na exposição de arquivos sensíveis localizados fora do diretório pretendido.Recommendations
Atualize o Gradio para a versão 6.16.0 ou posterior.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gradio