Plataforma
python
Componente
gradio
Corrigido em
4.19.2
4.19.2
A vulnerabilidade CVE-2024-1728 é um acesso arbitrário a arquivos presente em versões do Gradio até 4.9.1. Um atacante pode explorar essa falha para acessar arquivos no servidor que hospeda a aplicação Gradio, especialmente em aplicações com links públicos, como as hospedadas no Hugging Face Spaces. A atualização para a versão 4.19.2 ou superior resolve o problema e é altamente recomendada.
Esta vulnerabilidade permite que usuários de aplicações Gradio com links públicos acessem arquivos no servidor que hospeda a aplicação. O ataque envolve a interceptação e modificação das requisições de rede feitas pela aplicação Gradio ao servidor. Um atacante pode, por exemplo, ler arquivos de configuração sensíveis, código-fonte, ou até mesmo executar comandos no servidor, dependendo das permissões do usuário sob o qual a aplicação Gradio está rodando. O impacto é amplificado em ambientes de desenvolvimento ou testes onde arquivos com informações confidenciais podem estar presentes. A capacidade de acessar arquivos no servidor representa um risco significativo para a confidencialidade e integridade dos dados.
A vulnerabilidade foi divulgada em 25 de setembro de 2024. Não há evidências públicas de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a natureza do acesso arbitrário a arquivos a torna um alvo potencial. A ausência de um Proof of Concept (PoC) público não diminui a importância de aplicar a correção, pois a criação de um PoC é um passo comum no processo de exploração. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations and individuals deploying Gradio applications with public links, particularly those hosted on platforms like Hugging Face Spaces, are at risk. This includes machine learning engineers, data scientists, and developers who rely on Gradio for building and sharing interactive model demos. Legacy Gradio deployments and those with overly permissive file system permissions are particularly vulnerable.
• python / gradio: Monitor Gradio application logs for unusual file access attempts.
import logging
logging.basicConfig(filename='gradio_app.log', level=logging.INFO)
# ... your Gradio app code ...• generic web: Inspect access logs for requests targeting unusual file paths within the Gradio application directory.
• generic web: Check response headers for unexpected file content types or sizes.
• generic web: Use curl to attempt accessing files outside the intended application directory (e.g., /../../etc/passwd).
curl 'http://your-gradio-app.com/../../etc/passwd'disclosure
Status do Exploit
EPSS
87.95% (percentil 99%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a versão do Gradio para 4.19.2 ou superior. Se a atualização imediata não for possível devido a incompatibilidades, considere restringir o acesso à aplicação Gradio apenas a usuários confiáveis. Implementar regras de firewall para limitar o acesso ao servidor que hospeda a aplicação Gradio pode ajudar a reduzir a superfície de ataque. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. A atualização para a versão mais recente é a solução mais eficaz e recomendada.
Actualice la biblioteca gradio a la versión 4.19.2 o superior. Esto corregirá la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade gradio`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-1728 is a HIGH severity vulnerability allowing attackers to access files on the server hosting Gradio applications with public links. It affects versions ≤4.9.1.
Yes, if you are using Gradio version 4.9.1 or earlier and your application is accessible via a public link, you are potentially affected.
Upgrade Gradio to version 4.19.2 or higher to patch the vulnerability. Consider network restrictions and WAF rules as temporary mitigations.
There is currently no confirmed active exploitation, but the ease of exploitation suggests a high likelihood of future attacks.
Refer to the Gradio GitHub repository for the official advisory and patch details: https://github.com/gradio-app/gradio/commit/16fbe9cd0cffa9f2a824a01
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.