Platform
python
Component
gradio
Opgelost in
4.19.2
4.19.2
CVE-2024-1728 beschrijft een Arbitrary File Access kwetsbaarheid in Gradio, een Python bibliotheek voor het bouwen van machine learning interfaces. Deze kwetsbaarheid stelt aanvallers in staat om bestanden op de server te benaderen die de Gradio applicatie host, met name bij applicaties die een publieke link hebben, zoals op Hugging Face Spaces. De kwetsbaarheid treft versies van Gradio tot en met 4.9.1. Een patch is beschikbaar in Gradio versie 4.19.2 of hoger.
De impact van CVE-2024-1728 is significant, vooral voor Gradio applicaties die openbaar toegankelijk zijn. Een aanvaller kan de netwerkverzoeken die de Gradio applicatie naar de server stuurt onderscheppen en manipuleren. Dit stelt hen in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie, compromittering van de server, of zelfs de uitvoering van schadelijke code. De ernst van de impact hangt af van de gevoeligheid van de bestanden die op de server staan en de privileges van de gebruiker die de Gradio applicatie uitvoert. Dit type kwetsbaarheid kan vergelijkbaar zijn met andere file access kwetsbaarheden waarbij netwerkverzoeken worden gemanipuleerd om toegang te krijgen tot onbevoegde bronnen.
Op dit moment zijn er geen meldingen van actieve exploitatie van CVE-2024-1728. Er zijn ook geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is openbaar gemaakt op 2024-09-25. Het is belangrijk om de applicatie zo snel mogelijk te patchen om het risico te minimaliseren. De KEV score is nog niet bekend.
Organizations and individuals deploying Gradio applications with public links, particularly those hosted on platforms like Hugging Face Spaces, are at risk. This includes machine learning engineers, data scientists, and developers who rely on Gradio for building and sharing interactive model demos. Legacy Gradio deployments and those with overly permissive file system permissions are particularly vulnerable.
• python / gradio: Monitor Gradio application logs for unusual file access attempts.
import logging
logging.basicConfig(filename='gradio_app.log', level=logging.INFO)
# ... your Gradio app code ...• generic web: Inspect access logs for requests targeting unusual file paths within the Gradio application directory.
• generic web: Check response headers for unexpected file content types or sizes.
• generic web: Use curl to attempt accessing files outside the intended application directory (e.g., /../../etc/passwd).
curl 'http://your-gradio-app.com/../../etc/passwd'disclosure
Exploit Status
EPSS
87.95% (99% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-1728 is het upgraden van Gradio naar versie 4.19.2 of hoger. Deze versie bevat een patch die de kwetsbaarheid verhelpt. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Gradio applicatie via een firewall of proxy. Controleer de configuratie van de Gradio applicatie om er zeker van te zijn dat er geen onnodige bestanden toegankelijk zijn via de applicatie. Na de upgrade, verifieer de fix door te proberen een bestand te benaderen dat normaal gesproken niet toegankelijk zou moeten zijn via de Gradio interface.
Actualice la biblioteca gradio a la versión 4.19.2 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade gradio`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-1728 is a HIGH severity vulnerability allowing attackers to access files on the server hosting Gradio applications with public links. It affects versions ≤4.9.1.
Yes, if you are using Gradio version 4.9.1 or earlier and your application is accessible via a public link, you are potentially affected.
Upgrade Gradio to version 4.19.2 or higher to patch the vulnerability. Consider network restrictions and WAF rules as temporary mitigations.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high likelihood of future attacks.
Refer to the Gradio GitHub repository for the official advisory and patch details: https://github.com/gradio-app/gradio/commit/16fbe9cd0cffa9f2a824a01
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.