Plataforma
python
Componente
gradio
Corregido en
4.19.2
4.19.2
La vulnerabilidad CVE-2024-1728 es un fallo de Acceso Arbitrario de Archivos en Gradio, una biblioteca de Python para crear interfaces de usuario para modelos de aprendizaje automático. Esta vulnerabilidad permite a usuarios con acceso a aplicaciones Gradio con enlaces públicos (como en Hugging Face Spaces) acceder a archivos en la máquina que aloja la aplicación. Se ve afectada Gradio en versiones 4.9.1 y anteriores. La solución es actualizar a Gradio versión 4.19.2 o superior.
El impacto principal de esta vulnerabilidad radica en la capacidad de un atacante para leer archivos sensibles ubicados en el servidor que aloja la aplicación Gradio. Esto podría incluir claves API, contraseñas, información de configuración o incluso código fuente. El atacante puede lograr esto interceptando y modificando las peticiones de red que la aplicación Gradio realiza al servidor. La exposición de estos archivos podría llevar a la divulgación de información confidencial, la toma de control del sistema o incluso la ejecución de código malicioso. Aunque no se tiene conocimiento de explotación activa, la naturaleza de la vulnerabilidad la convierte en un riesgo significativo, especialmente para aplicaciones Gradio desplegadas en entornos de producción con enlaces públicos.
Actualmente, no se ha reportado explotación activa de CVE-2024-1728. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. La probabilidad de explotación se considera baja a moderada, dado que requiere la modificación de peticiones de red y el acceso a una aplicación Gradio con enlace público. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations and individuals deploying Gradio applications with public links, particularly those hosted on platforms like Hugging Face Spaces, are at risk. This includes machine learning engineers, data scientists, and developers who rely on Gradio for building and sharing interactive model demos. Legacy Gradio deployments and those with overly permissive file system permissions are particularly vulnerable.
• python / gradio: Monitor Gradio application logs for unusual file access attempts.
import logging
logging.basicConfig(filename='gradio_app.log', level=logging.INFO)
# ... your Gradio app code ...• generic web: Inspect access logs for requests targeting unusual file paths within the Gradio application directory.
• generic web: Check response headers for unexpected file content types or sizes.
• generic web: Use curl to attempt accessing files outside the intended application directory (e.g., /../../etc/passwd).
curl 'http://your-gradio-app.com/../../etc/passwd'disclosure
Estado del Exploit
EPSS
87.95% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-1728 es actualizar a Gradio versión 4.19.2 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la aplicación Gradio solo a usuarios autorizados. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) para bloquear peticiones sospechosas que intenten acceder a archivos fuera del directorio esperado. Monitorear los registros de acceso de la aplicación Gradio en busca de patrones inusuales también puede ayudar a detectar intentos de explotación. Después de la actualización, confirme la mitigación revisando los registros y realizando pruebas de acceso a archivos para verificar que la vulnerabilidad ha sido resuelta.
Actualice la biblioteca gradio a la versión 4.19.2 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade gradio`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-1728 is a HIGH severity vulnerability allowing attackers to access files on the server hosting Gradio applications with public links. It affects versions ≤4.9.1.
Yes, if you are using Gradio version 4.9.1 or earlier and your application is accessible via a public link, you are potentially affected.
Upgrade Gradio to version 4.19.2 or higher to patch the vulnerability. Consider network restrictions and WAF rules as temporary mitigations.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high likelihood of future attacks.
Refer to the Gradio GitHub repository for the official advisory and patch details: https://github.com/gradio-app/gradio/commit/16fbe9cd0cffa9f2a824a01
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.