प्लेटफ़ॉर्म
python
घटक
gradio
में ठीक किया गया
6.6.1
6.6.0
Gradio एक ओपन-सोर्स पायथन पैकेज है जिसका उपयोग त्वरित प्रोटोटाइप बनाने के लिए किया जाता है। CVE-2026-28416 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो Gradio के संस्करण 6.5.1 या उससे कम में मौजूद है। इस भेद्यता का उपयोग करके, एक हमलावर पीड़ित के सर्वर से मनमाने HTTP अनुरोध कर सकता है। Gradio संस्करण 6.6.0 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को पीड़ित सर्वर के माध्यम से आंतरिक सेवाओं, क्लाउड मेटाडेटा एंडपॉइंट और निजी नेटवर्क तक पहुँचने की अनुमति देती है। हमलावर gr.load() फ़ंक्शन का उपयोग करके एक दुर्भावनापूर्ण Gradio Space लोड कर सकते हैं, जिससे हमलावर द्वारा नियंत्रित proxy_url को विश्वसनीय माना जाता है और अनुमति सूची में जोड़ा जाता है। इससे हमलावर पीड़ित के बुनियादी ढांचे के माध्यम से मनमाने अनुरोध कर सकते हैं, जिससे संवेदनशील डेटा का खुलासा हो सकता है या सिस्टम पर अनधिकृत कार्रवाई की जा सकती है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहाँ Gradio Space सार्वजनिक रूप से होस्ट किए जाते हैं और आंतरिक संसाधनों तक पहुँच की अनुमति दी जाती है।
यह भेद्यता सार्वजनिक रूप से 2026-03-01 को घोषित की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है। CISA KEV सूची में अभी तक शामिल नहीं है। भेद्यता की गंभीरता 8.2 (HIGH) है।
Organizations and developers using Gradio for prototyping machine learning applications, particularly those deploying Spaces publicly or integrating with internal services, are at risk. Shared hosting environments where multiple users can deploy Gradio Spaces are also vulnerable, as a malicious Space could impact other users on the same server.
• python / gradio:
import subprocess
subprocess.run(['pip', 'show', 'gradio'], check=True)• python / gradio: Check Gradio version in requirements.txt or setup.py files. • generic web: Monitor outbound HTTP requests from Gradio applications for unexpected destinations, especially internal network addresses or cloud metadata endpoints. • generic web: Review Gradio application logs for unusual HTTP requests or errors related to proxy URLs.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (3% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, Gradio को संस्करण 6.6.0 या उससे ऊपर के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Gradio Space में proxy_url कॉन्फ़िगरेशन को हटा दें या इसे सुरक्षित मान लें। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके बाहरी स्रोतों से आने वाले अनुरोधों को फ़िल्टर करें और केवल विश्वसनीय स्रोतों से अनुरोधों की अनुमति दें। Gradio Space के लिए नेटवर्क एक्सेस को सीमित करें ताकि आंतरिक संसाधनों तक अनधिकृत पहुँच को रोका जा सके।
Gradio लाइब्रेरी को संस्करण 6.6.0 या उच्चतर में अपडेट करें। यह प्रॉक्सी URL को सही ढंग से मान्य करके SSRF भेद्यता को ठीक करता है। आप `pip install --upgrade gradio` का उपयोग करके अपडेट कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-28416 Gradio के संस्करण 6.5.1 या उससे कम में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जिससे हमलावर आंतरिक सेवाओं तक पहुँच सकते हैं।
यदि आप Gradio के संस्करण 6.5.1 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Gradio को संस्करण 6.6.0 या उससे ऊपर के संस्करण में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो proxy_url कॉन्फ़िगरेशन को हटा दें या WAF का उपयोग करें।
वर्तमान में, कोई सार्वजनिक रूप से उपलब्ध POC नहीं है, लेकिन SSRF भेद्यताओं का इतिहास बताता है कि इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए Gradio की वेबसाइट या GitHub रिपॉजिटरी देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।