当请求在 Gradio 中含有 cookie 时,不会执行 CORS 来源验证 (CVE-2024-47084)
CVE编号
CVE-2024-47084利用情况
暂无补丁情况
N/A披露时间
2024-10-11漏洞描述
Gradio是一个用于快速原型的开源Python包。此漏洞与CORS(跨源资源共享)的源验证有关。当存在cookie时,Gradio服务器无法验证请求的来源,导致存在漏洞。这使得攻击者的网站可以向本地Gradio服务器发送未经授权的请求。如果受害者登录Gradio时访问恶意网站,攻击者可能会上传文件、窃取身份验证令牌并访问用户数据。这影响了那些已经本地部署了Gradio并使用基本身份验证的用户。建议用户升级到大于或等于版本4.44的Gradio来解决这个问题。作为一种解决方法,用户可以手动强制执行更严格的CORS源验证,通过修改本地Gradio服务器代码中的`CustomCORSMiddleware`类来实现。具体来说,他们可以绕过包含cookie的请求跳过CORS验证的条件,以防止潜在的攻击。解决建议
"将组件 gradio 升级至 4.44.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/gradio-app/gradio/security/advisories/GHSA-3c67-5hwx-f6wx |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-285 | 授权机制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论