PT-2026-54771 · Gradio · Gradio

Abidlabs

·

Publicado

2026-07-01

·

Atualizado

2026-07-02

·

CVE-2026-49119

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Gradio versões anteriores a 6.16.0
Description Um problema de traversal de caminho existe na função preprocess() do componente FileExplorer. Atacantes não autenticados podem escapar do diretório raiz configurado fornecendo segmentos de caminho que incluam caminhos absolutos ou sequências de traversal de diretório. Isso ocorre porque a função os.path.join pode descartar o prefixo root dir ao processar esses segmentos manipulados, resultando na leitura arbitrária de arquivos ou na exposição de arquivos sensíveis localizados fora do diretório pretendido.
Recommendations Atualize o Gradio para a versão 6.16.0 ou posterior.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49119

Produtos afetados

Gradio