CORS 来源验证接受 Gradio 中的空来源 (CVE-2024-47165)
CVE编号
CVE-2024-47165利用情况
暂无补丁情况
N/A披露时间
2024-10-11漏洞描述
Gradio是一个用于快速原型的开源Python包。此漏洞与CORS(跨源资源共享)的源验证有关,允许接受空源。当Gradio服务器本地部署时,`localhost_aliases`变量包含“null”作为有效源。这使得攻击者可以从沙箱化的内联框架或其他空源进行未经授权的请求,可能导致数据泄露,如用户身份验证令牌或上传的文件。这影响了本地运行Gradio的用户,特别是使用基本身份验证的用户。建议用户升级到Gradio 5.0或更高版本以解决此问题。作为临时解决方案,用户可以手动修改本地Gradio部署中的`localhost_aliases`列表,以排除将“null”作为有效源。通过删除此值,Gradio服务器将不再接受来自沙箱化内联框架或空源的请求,从而减轻了潜在的安全风险。解决建议
"将组件 gradio 升级至 5.0.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/gradio-app/gradio/security/advisories/GHSA-89v2-pqfv-c5r9 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-285 | 授权机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论