Vulnerabilidad en Gradio (CVE-2024-47084)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/10/2024
Última modificación:
17/10/2024
Descripción
Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad está relacionada con la **validación de origen CORS**, donde el servidor Gradio no puede validar el origen de la solicitud cuando hay una cookie presente. Esto permite que el sitio web de un atacante realice solicitudes no autorizadas a un servidor Gradio local. Potencialmente, los atacantes pueden cargar archivos, robar tokens de autenticación y acceder a los datos del usuario si la víctima visita un sitio web malicioso mientras está conectado a Gradio. Esto afecta a los usuarios que han implementado Gradio localmente y usan autenticación básica. Se recomienda a los usuarios que actualicen a `gradio>4.44` para solucionar este problema. Como workaround, los usuarios pueden aplicar manualmente una validación de origen CORS más estricta modificando la clase `CustomCORSMiddleware` en su código de servidor Gradio local. Específicamente, pueden omitir la condición que omite la validación CORS para las solicitudes que contienen cookies para evitar una posible explotación.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:* | 4.44.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página