CRITICAL🇬🇧 English

CVE-2024-39236

Code injection w Gradio v4.36.1 via component_meta.py

CVSS 9.8v3.1pub. 2024-07-01upd. 2025-06-27

W bibliotece Gradio w wersji 4.36.1 wykryto podatność typu code injection w komponencie /gradio/component_meta.py. Podatność może być wywołana przez odpowiednio spreparowane dane wejściowe, jednak producent kwestionuje jej zasadność, twierdząc że scenariusz ataku sprowadza się do użytkownika atakującego samego siebie.

Pokaż oryginał (EN)

Gradio v4.36.1 was discovered to contain a code injection vulnerability via the component /gradio/component_meta.py. This vulnerability is triggered via a crafted input. NOTE: the supplier disputes this because the report is about a user attacking himself.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-94 (Improper Control of Generation of Code) polega na tym, że komponent component_meta.py przetwarza dane wejściowe w sposób umożliwiający wstrzyknięcie i wykonanie arbitralnego kodu. Atakujący może dostarczyć spreparowany payload, który zostanie zinterpretowany i wykonany przez aplikację. Producent (Gradio Project) kwestionuje raport, wskazując że opisany scenariusz nie stanowi realnego zagrożenia dla innych użytkowników, gdyż atakujący musiałby atakować własne środowisko.

Skutki

W przypadku skutecznego wykorzystania podatności atakujący może uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością systemu (oceny C:H/I:H/A:H w wektorze CVSS), co potencjalnie obejmuje wykonanie dowolnego kodu na serwerze.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na spór producenta co do zasadności podatności, zaleca się śledzenie oficjalnych komunikatów projektu Gradio oraz aktualizację do najnowszej dostępnej wersji biblioteki.

Kogo dotyczy

Gradio w wersji 4.36.1 (Gradio Project)

Uwagi

Producent (Gradio Project) oficjalnie kwestionuje klasyfikację jako podatność, argumentując że opisany scenariusz dotyczy wyłącznie użytkownika atakującego własne środowisko (brak wpływu na innych użytkowników). Dostępny jest publiczny proof-of-concept pod adresem https://github.com/Aaron911/PoC/blob/main/Gradio.md. Organizacje korzystające z Gradio powinny samodzielnie ocenić ryzyko w kontekście swojego środowiska wdrożeniowego.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Gradio Project Gradio

    APP
    Gradio Project
    4.36.1
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-4253CRITICAL9.1PL ✓ten sam produkt

Command Injection w workflow CI/CD repozytorium Gradio (GitHub Actions)

CVE-2024-0964CRITICAL9.4PL ✓ten sam produkt

Path Traversal (LFI) w Gradio poprzez złośliwą wartość JSON w API

CVE-2026-49119HIGH8.7ten sam produkt

Gradio before 6.16.0 contain a path traversal vulnerability in the FileExplorer component's preprocess() metho...

CVE-2026-48545HIGH7.6ten sam produkt

Gradio before version 6.15.0 contains a cookie injection vulnerability that allows remote attackers to perform...

CVE-2026-28414HIGH7.5ten sam produkt

Gradio is an open-source Python package designed for quick prototyping. Prior to version 6.7, Gradio apps runn...