Vulnerabilidad en "gradio" (CVE-2022-24770)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/03/2022

Última modificación:

24/03/2022

Descripción

"gradio" es un marco de trabajo de código abierto para la construcción de modelos y demostraciones interactivas de aprendizaje automático. En versiones anteriores a 2.8.11, "gradio" sufre de una Neutralización Inapropiada de Elementos de Fórmula en un Archivo CSV. La biblioteca "gradio" presenta una funcionalidad de marcado que guarda los datos de entrada/salida en un archivo CSV en el ordenador del desarrollador. Esto puede permitir a un usuario guardar texto arbitrario en el archivo CSV, como por ejemplo, comandos. Si un programa como MS Excel abre dicho archivo, entonces ejecuta automáticamente estos comandos, lo que podría conllevara una ejecución de comandos arbitrarios en el ordenador del usuario. El problema ha sido parcheado a partir de la versión "2.8.11", que escapa del csv guardado con comillas simples. Como medida de mitigación, evite abrir los archivos csv generados por "gradio" con Excel o programas de hojas de cálculo similares

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico