Plateforme
python
Composant
gradio
Corrigé dans
4.19.2
4.19.2
La vulnérabilité CVE-2024-1728 concerne un accès arbitraire aux fichiers dans Gradio, une bibliothèque Python pour créer des interfaces utilisateur pour des modèles d'apprentissage automatique. Cette faille permet à des utilisateurs malveillants d'accéder à des fichiers sur le serveur hébergeant l'application Gradio, en particulier celles accessibles publiquement (comme sur Hugging Face Spaces). Les versions de Gradio affectées sont celles inférieures ou égales à 4.9.1. Une correction est disponible dans la version 4.19.2 et supérieure.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'accéder à des fichiers sensibles présents sur le serveur hébergeant l'application Gradio. L'exploitation se fait en interceptant et en modifiant les requêtes réseau envoyées par l'application au serveur. Cela pourrait permettre de récupérer des informations confidentielles telles que des clés API, des mots de passe, des données de configuration ou même du code source. Bien qu'aucune exploitation active n'ait été signalée à ce jour, la nature de la vulnérabilité et sa facilité d'exploitation en font une cible potentielle pour des attaques, en particulier sur les applications déployées sur des plateformes publiques comme Hugging Face Spaces. La surface d'attaque est donc large, touchant tous les déploiements de Gradio accessibles publiquement.
Cette vulnérabilité a été rendue publique le 25 septembre 2024. Bien qu'aucune exploitation active n'ait été confirmée, la simplicité de l'exploitation et la popularité de Gradio en font une cible potentielle. Il n'est pas listé sur le KEV de CISA à ce jour. Des preuves de concept publiques sont disponibles, ce qui augmente le risque d'exploitation.
Organizations and individuals deploying Gradio applications with public links, particularly those hosted on platforms like Hugging Face Spaces, are at risk. This includes machine learning engineers, data scientists, and developers who rely on Gradio for building and sharing interactive model demos. Legacy Gradio deployments and those with overly permissive file system permissions are particularly vulnerable.
• python / gradio: Monitor Gradio application logs for unusual file access attempts.
import logging
logging.basicConfig(filename='gradio_app.log', level=logging.INFO)
# ... your Gradio app code ...• generic web: Inspect access logs for requests targeting unusual file paths within the Gradio application directory.
• generic web: Check response headers for unexpected file content types or sizes.
• generic web: Use curl to attempt accessing files outside the intended application directory (e.g., /../../etc/passwd).
curl 'http://your-gradio-app.com/../../etc/passwd'disclosure
Statut de l'Exploit
EPSS
87.95% (percentile 99%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Gradio vers la version 4.19.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de restreindre l'accès aux fichiers sensibles sur le serveur. Envisagez également de mettre en place des règles de pare-feu d'application web (WAF) pour bloquer les requêtes suspectes. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité inhabituelle. Il n'existe pas de signature Sigma ou YARA spécifique à cette vulnérabilité, mais une analyse comportementale des requêtes réseau peut aider à identifier les tentatives d'exploitation.
Actualice la biblioteca gradio a la versión 4.19.2 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade gradio`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-1728 is a HIGH severity vulnerability allowing attackers to access files on the server hosting Gradio applications with public links. It affects versions ≤4.9.1.
Yes, if you are using Gradio version 4.9.1 or earlier and your application is accessible via a public link, you are potentially affected.
Upgrade Gradio to version 4.19.2 or higher to patch the vulnerability. Consider network restrictions and WAF rules as temporary mitigations.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high likelihood of future attacks.
Refer to the Gradio GitHub repository for the official advisory and patch details: https://github.com/gradio-app/gradio/commit/16fbe9cd0cffa9f2a824a01
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.