Vulnerabilidad en gradio-app/gradio (CVE-2024-4254)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

04/06/2024

Última modificación:

30/07/2025

Descripción

El flujo de trabajo &#39;deploy-website.yml&#39; en el repositorio gradio-app/gradio, específicamente en la rama &#39;principal&#39;, es vulnerable a la filtración de secretos debido a una autorización inadecuada. La vulnerabilidad surge de la verificación explícita del flujo de trabajo y la ejecución de código desde una bifurcación, lo cual no es seguro ya que permite la ejecución de código que no es de confianza en un entorno con acceso para enviar al repositorio base y acceder a secretos. Esta falla podría provocar la exfiltración de secretos confidenciales como GITHUB_TOKEN, HF_TOKEN, VERCEL_ORG_ID, VERCEL_PROJECT_ID, COMMENT_TOKEN, AWSACCESSKEYID, AWSSECRETKEY y VERCEL_TOKEN. La vulnerabilidad está presente en el archivo de flujo de trabajo ubicado en https://github.com/gradio-app/gradio/blob/72f4ca88ab569aae47941b3fb0609e57f2e13a27/.github/workflows/deploy-website.yml.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno