Gradio 中 `/custom_component` 中的一级读取路径遍历 (CVE-2024-47166)
CVE编号
CVE-2024-47166利用情况
暂无补丁情况
N/A披露时间
2024-10-11漏洞描述
Gradio是一个用于快速原型的开源Python包。此漏洞涉及`/custom_component`端点的**单级读取路径遍历**。攻击者可以通过操纵请求中的文件路径来访问和泄露自定义Gradio组件的源代码。尽管遍历仅限于单个目录级别,但它可能会暴露开发人员意图保持私密的专有或敏感代码。这影响了那些开发了自定义Gradio组件并在公共服务器上托管它们的用户。建议用户升级到`gradio>=4.44`以解决此问题。作为一种解决方法,开发人员可以清理文件路径并确保组件不会存储在可公开访问的目录中。解决建议
"将组件 gradio 升级至 4.44.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/gradio-app/gradio/security/advisories/GHSA-37qc-qgx6-9xjv |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-22 | 对路径名的限制不恰当(路径遍历) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论