Vulnerabilidad en Gradio (CVE-2024-47165)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/10/2024
Última modificación:
17/10/2024
Descripción
Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad se relaciona con la **validación de origen CORS que acepta un origen nulo**. Cuando se implementa un servidor Gradio localmente, la variable `localhost_aliases` incluye "null" como un origen válido. Esto permite a los atacantes realizar solicitudes no autorizadas desde iframes aislados u otras fuentes con un origen nulo, lo que puede provocar el robo de datos, como tokens de autenticación de usuario o archivos cargados. Esto afecta a los usuarios que ejecutan Gradio localmente, especialmente a los que usan autenticación básica. Se recomienda a los usuarios que actualicen a `gradio>=5.0` para solucionar este problema. Como workaround, los usuarios pueden modificar manualmente la lista `localhost_aliases` en su implementación local de Gradio para excluir "null" como un origen válido. Al eliminar este valor, el servidor Gradio ya no aceptará solicitudes de iframes aislados o fuentes con un origen nulo, lo que mitiga el potencial de explotación.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:* | 5.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página