Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Gradio (CVE-2024-47165)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/10/2024
Última modificación:
17/10/2024

Descripción

Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad se relaciona con la **validación de origen CORS que acepta un origen nulo**. Cuando se implementa un servidor Gradio localmente, la variable `localhost_aliases` incluye "null" como un origen válido. Esto permite a los atacantes realizar solicitudes no autorizadas desde iframes aislados u otras fuentes con un origen nulo, lo que puede provocar el robo de datos, como tokens de autenticación de usuario o archivos cargados. Esto afecta a los usuarios que ejecutan Gradio localmente, especialmente a los que usan autenticación básica. Se recomienda a los usuarios que actualicen a `gradio>=5.0` para solucionar este problema. Como workaround, los usuarios pueden modificar manualmente la lista `localhost_aliases` en su implementación local de Gradio para excluir "null" como un origen válido. Al eliminar este valor, el servidor Gradio ya no aceptará solicitudes de iframes aislados o fuentes con un origen nulo, lo que mitiga el potencial de explotación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:* 5.0.0 (excluyendo)


Referencias a soluciones, herramientas e información