CVE-2024-1728は、Gradioアプリケーションにおける任意ファイルアクセス脆弱性です。この脆弱性は、公開リンクを持つGradioアプリケーション(例:Hugging Face Spaces)において、攻撃者がネットワークリクエストを改ざんし、ホストマシンのファイルに不正にアクセスすることを可能にします。影響を受けるバージョンはGradio 4.9.1以前です。Gradio 4.19.2以降で修正されており、アップグレードを推奨します。
この脆弱性を悪用されると、攻撃者はGradioアプリケーションが実行されているサーバー上のファイルにアクセスできるようになります。具体的には、ネットワークリクエストを傍受し、改ざんすることで、本来アクセスできないファイルへのパスを注入することが可能です。これにより、機密情報を含むファイルが漏洩する可能性があります。また、攻撃者はファイルの内容を改ざんしたり、悪意のあるコードを挿入したりすることも考えられます。特に、Hugging Face Spacesのような公開環境でGradioアプリケーションをデプロイしている場合、攻撃対象領域が広がり、リスクが高まります。類似の脆弱性は、ファイルアクセス制御の不備から発生することがあります。
この脆弱性は、2024年9月25日に公開されました。現時点では、この脆弱性が積極的に悪用されているという報告はありませんが、公開されているため、今後悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。公開されているPoC(Proof of Concept)が存在するかどうかは確認されていません。NVD(National Vulnerability Database)の情報も参照してください。
Organizations and individuals deploying Gradio applications with public links, particularly those hosted on platforms like Hugging Face Spaces, are at risk. This includes machine learning engineers, data scientists, and developers who rely on Gradio for building and sharing interactive model demos. Legacy Gradio deployments and those with overly permissive file system permissions are particularly vulnerable.
• python / gradio: Monitor Gradio application logs for unusual file access attempts.
import logging
logging.basicConfig(filename='gradio_app.log', level=logging.INFO)
# ... your Gradio app code ...• generic web: Inspect access logs for requests targeting unusual file paths within the Gradio application directory.
• generic web: Check response headers for unexpected file content types or sizes.
• generic web: Use curl to attempt accessing files outside the intended application directory (e.g., /../../etc/passwd).
curl 'http://your-gradio-app.com/../../etc/passwd'disclosure
エクスプロイト状況
EPSS
87.95% (99% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Gradioのバージョンを4.19.2以降にアップグレードすることが最も効果的です。アップグレードが困難な場合は、一時的な回避策として、Gradioアプリケーションへのアクセスを制限し、信頼できるユーザーのみにアクセスを許可するように設定してください。また、WAF(Web Application Firewall)を導入し、不正なファイルアクセスリクエストを検知・遮断することも有効です。Gradioアプリケーションのログを監視し、不審なアクセスパターンを検出することも重要です。アップグレード後、Gradioアプリケーションのファイルアクセス権限を確認し、不要なファイルへのアクセスを制限することで、セキュリティを強化できます。
Actualice la biblioteca gradio a la versión 4.19.2 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade gradio`.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-1728は、Gradio 4.9.1以前のバージョンにおける任意ファイルアクセス脆弱性です。攻撃者はネットワークリクエストを改ざんし、ホストマシンのファイルにアクセス可能になります。
Gradio 4.9.1以前のバージョンを使用している場合は影響があります。Hugging Face Spacesなどの公開環境でGradioアプリケーションをデプロイしている場合は、特に注意が必要です。
Gradioのバージョンを4.19.2以降にアップグレードしてください。アップグレードが困難な場合は、アクセス制限やWAFの導入などの回避策を検討してください。
現時点では、積極的に悪用されているという報告はありませんが、公開されているため、今後悪用される可能性があります。
Gradioの公式アドバイザリは、https://github.com/gradio-app/gradio/commit/16fbe9cd0cffa9f2a824a01 で確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。