W bibliotece Gradio istnieje podatność typu path traversal (CWE-22), która pozwala na zdalne wywołanie lokalnego dołączenia pliku (Local File Include) poprzez spreparowaną wartość JSON w żądaniu API. Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
A local file include could be remotely triggered in Gradio due to a vulnerable user-supplied JSON value in an API request.
Atakujący wysyła żądanie do API Gradio zawierające złośliwie spreparowaną wartość JSON. Aplikacja nieprawidłowo waliduje tę wartość, co umożliwia manipulację ścieżką do pliku i wyjście poza dozwolony katalog (path traversal). W efekcie serwer może zostać zmuszony do odczytu lub ujawnienia dowolnych plików lokalnych dostępnych dla procesu aplikacji.
Nieuwierzytelniony atakujący zdalnie może uzyskać nieautoryzowany dostęp do poufnych plików na serwerze (wysokie ryzyko utraty poufności i integralności danych) oraz potencjalnie doprowadzić do częściowego zakłócenia dostępności usługi.
Należy zaktualizować Gradio do wersji zawierającej commit d76bcaaaf0734aaf49a680f94ea9d4d22a602e70 lub nowszej. Szczegóły dotyczące konkretnych wersji patcha dostępne są w referencjach producenta oraz na platformie huntr.com.
Gradio Project Gradio — wersje wskazane w referencjach producenta (commit naprawczy: d76bcaaaf0734aaf49a680f94ea9d4d22a602e70)
Podatność została zgłoszona za pośrednictwem platformy huntr.com (program bug bounty). Szczegóły techniczne dostępne pod adresem: https://huntr.com/bounties/25e25501-5918-429c-8541-88832dfd3741
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:LGradio Project Gradio
APPGradio Projectwszystkie wersje
Powiązane podatności
Code injection w Gradio v4.36.1 via component_meta.py
Command Injection w workflow CI/CD repozytorium Gradio (GitHub Actions)
Gradio before 6.16.0 contain a path traversal vulnerability in the FileExplorer component's preprocess() metho...
Gradio before version 6.15.0 contains a cookie injection vulnerability that allows remote attackers to perform...
Gradio is an open-source Python package designed for quick prototyping. Prior to version 6.6.0, a Server-Side ...