Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en gradio-app/gradio (CVE-2024-12217)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
20/03/2025
Última modificación:
20/03/2025

Descripción

Una vulnerabilidad en el repositorio gradio-app/gradio, versión git 67e4044, permite path traversal en el sistema operativo Windows. La implementación de la función "blocked_path", cuyo objetivo es impedir que los usuarios lean ciertos archivos, es defectuoso. En concreto, si bien la aplicación bloquea correctamente el acceso a rutas como "C:/tmp/secret.txt", no lo bloquea al usar la sintaxis de flujos de datos alternativos (ADS) de NTFS, como "C:/tmp/secret.txt::$DATA". Este fallo puede provocar la lectura no autorizada de rutas de archivos bloqueadas.

Impacto

Vector 3.x
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información