Vulnerabilidad en gradio-app/gradio (CVE-2024-4253)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

04/06/2024

Última modificación:

30/07/2025

Descripción

Existe una vulnerabilidad de inyección de comandos en el repositorio gradio-app/gradio, específicamente dentro del flujo de trabajo &#39;test-functional.yml&#39;. La vulnerabilidad surge debido a la neutralización inadecuada de elementos especiales utilizados en un comando, lo que permite la modificación no autorizada del repositorio base o la filtración de secretos. El problema afecta a las versiones hasta &#39;@gradio/video@0.6.12&#39; incluida. La falla está presente en el manejo por parte del flujo de trabajo de la información de contexto de GitHub, donde hace eco del nombre completo del repositorio principal, la rama principal y la referencia del flujo de trabajo sin una desinfección adecuada. Esto podría conducir potencialmente a la filtración de secretos confidenciales como &#39;GITHUB_TOKEN&#39;, &#39;COMMENT_TOKEN&#39; y &#39;CHROMATIC_PROJECT_TOKEN&#39;.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno