प्लेटफ़ॉर्म
python
घटक
gradio
में ठीक किया गया
4.19.2
4.19.2
CVE-2024-1728 Gradio अनुप्रयोगों में एक Arbitrary File Access भेद्यता है। यह भेद्यता हमलावरों को Gradio एप्लिकेशन होस्ट करने वाली मशीन पर फ़ाइलों तक पहुँचने की अनुमति देती है, खासकर उन अनुप्रयोगों में जिनमें सार्वजनिक लिंक हैं (जैसे Hugging Face Spaces पर)। यह भेद्यता Gradio संस्करण 4.9.1 और उससे कम को प्रभावित करती है। Gradio 4.19.2 या उच्चतर में अपग्रेड करके इस समस्या का समाधान किया गया है।
यह भेद्यता Gradio अनुप्रयोगों के लिए गंभीर जोखिम पैदा करती है जो सार्वजनिक रूप से उपलब्ध हैं। हमलावर नेटवर्क अनुरोधों को इंटरसेप्ट और संशोधित करके होस्ट मशीन पर मनमाने ढंग से फ़ाइलों तक पहुँच सकते हैं। इससे संवेदनशील डेटा का खुलासा हो सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड, या उपयोगकर्ता डेटा। इस भेद्यता का उपयोग मशीन पर अन्य अनुप्रयोगों या सेवाओं पर भी हमला करने के लिए किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। चूंकि Gradio अक्सर मशीन लर्निंग मॉडल को तैनात करने के लिए उपयोग किया जाता है, इसलिए इस भेद्यता का उपयोग मॉडल को समझौता करने या डेटा को दूषित करने के लिए भी किया जा सकता है।
CVE-2024-1728 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन सार्वजनिक रूप से उपलब्ध होने के कारण इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इस भेद्यता का फायदा उठाना आसान बनाते हैं।
Organizations and individuals deploying Gradio applications with public links, particularly those hosted on platforms like Hugging Face Spaces, are at risk. This includes machine learning engineers, data scientists, and developers who rely on Gradio for building and sharing interactive model demos. Legacy Gradio deployments and those with overly permissive file system permissions are particularly vulnerable.
• python / gradio: Monitor Gradio application logs for unusual file access attempts.
import logging
logging.basicConfig(filename='gradio_app.log', level=logging.INFO)
# ... your Gradio app code ...• generic web: Inspect access logs for requests targeting unusual file paths within the Gradio application directory.
• generic web: Check response headers for unexpected file content types or sizes.
• generic web: Use curl to attempt accessing files outside the intended application directory (e.g., /../../etc/passwd).
curl 'http://your-gradio-app.com/../../etc/passwd'disclosure
एक्सप्लॉइट स्थिति
EPSS
87.95% (99% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-1728 को कम करने का प्राथमिक तरीका Gradio को संस्करण 4.19.2 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Gradio एप्लिकेशन के लिए सार्वजनिक लिंक को अक्षम करने पर विचार करें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके नेटवर्क अनुरोधों को फ़िल्टर किया जा सकता है जो फ़ाइल एक्सेस प्रयासों को ब्लॉक करते हैं। Gradio एप्लिकेशन को एक सुरक्षित नेटवर्क पर रखने से भी जोखिम को कम करने में मदद मिल सकती है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Gradio एप्लिकेशन के फ़ाइल एक्सेस व्यवहार का परीक्षण करें।
Actualice la biblioteca gradio a la versión 4.19.2 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade gradio`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-1728 Gradio अनुप्रयोगों में एक भेद्यता है जो हमलावरों को होस्ट मशीन पर फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Gradio संस्करण 4.9.1 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Gradio को संस्करण 4.19.2 या उच्चतर में अपग्रेड करें।
अभी तक सक्रिय शोषण की कोई रिपोर्ट नहीं है, लेकिन सार्वजनिक रूप से उपलब्ध होने के कारण इसका शोषण किया जा सकता है।
आप Gradio GitHub रिपॉजिटरी में सलाहकार पा सकते हैं: https://github.com/gradio-app/gradio/commit/16fbe9cd0cffa9f2a824a01
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।