Plataforma
python
Componente
gradio
Corrigido em
4.31.4
4.31.3
Uma vulnerabilidade de inclusão de arquivo local (LFI) foi descoberta no componente JSON da biblioteca gradio, afetando versões até 4.9.1. Essa falha permite que um atacante leia arquivos arbitrários do sistema, potencialmente expondo informações confidenciais. A vulnerabilidade reside na função postprocess() do componente JSON e foi corrigida na versão 4.31.3.
A vulnerabilidade CVE-2024-4941 permite a um atacante com acesso ao endpoint /file=.. ler arquivos do sistema de arquivos local. O atacante pode explorar essa falha para obter acesso a arquivos de configuração, chaves de API, dados de usuários ou outros dados sensíveis armazenados no servidor. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, comprometimento da integridade do sistema e, em alguns casos, execução remota de código, dependendo dos arquivos acessíveis. A ausência de validação adequada da entrada JSON permite que um atacante manipule o caminho do arquivo a ser acessado.
A vulnerabilidade CVE-2024-4941 foi divulgada em 6 de junho de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um proof-of-concept público pode facilitar a exploração por atacantes menos experientes. A avaliação de risco é considerada média devido à facilidade de exploração e ao potencial impacto na confidencialidade dos dados.
Applications utilizing Gradio for building interactive web interfaces, particularly those handling sensitive data or deployed in environments with limited security controls, are at risk. This includes developers using Gradio for machine learning demos, data visualization tools, or internal dashboards.
• python / gradio:
import os
import json
# Check for vulnerable Gradio versions
process = os.popen('pip show gradio')
output = process.read()
version = None
for line in output.splitlines():
if line.startswith('Version:'):
version = line.split('==')[1]
break
if version and float(version) <= 4.9.1:
print("VULNERABLE: Gradio version is {}".format(version))
else:
print("Gradio version is safe or not installed.")• generic web: Check Gradio application endpoints for the existence of /file=.. and attempt to access arbitrary files.
disclosure
Status do Exploit
EPSS
0.56% (percentil 68%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-4941 é atualizar a biblioteca gradio para a versão 4.31.3 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao endpoint /file=.. através de um firewall de aplicação web (WAF) ou proxy reverso, configurando regras para bloquear solicitações com caminhos de arquivo maliciosos. Monitore os logs do servidor em busca de tentativas de acesso não autorizado ao endpoint /file=...
Actualice la biblioteca gradio a la versión 4.31.4 o superior. Esto corrige la vulnerabilidad de inclusión de archivos locales en el componente JSON. La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade gradio`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de inclusão de arquivo local (LFI) que permite a leitura de arquivos arbitrários em versões do gradio até 4.9.1, expondo dados sensíveis.
Sim, se você estiver utilizando gradio em versões anteriores ou igual a 4.9.1, você está vulnerável a essa falha.
Atualize a biblioteca gradio para a versão 4.31.3 ou superior para corrigir a vulnerabilidade. Implemente regras de WAF para mitigar o risco.
Embora não haja confirmação de exploração ativa em campanhas direcionadas, a existência de um proof-of-concept público aumenta o risco de exploração.
Consulte o site oficial do gradio ou o repositório do projeto no GitHub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.