CVE-2024-47084

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-47084
Gradio is an open-source Python package designed for quick prototyping. This vulnerability is related to **CORS origin validation**, where the Gradio server fails to validate the request origin when a cookie is present. This allows an attacker’s website to make unauthorized requests to a local Gradio server. Potentially, attackers can upload files, steal authentication tokens, and access user data if the victim visits a malicious website while logged into Gradio. This impacts users who have deployed Gradio locally and use basic authentication. Users are advised to upgrade to `gradio>4.44` to address this issue. As a workaround, users can manually enforce stricter CORS origin validation by modifying the `CustomCORSMiddleware` class in their local Gradio server code. Specifically, they can bypass the condition that skips CORS validation for requests containing cookies to prevent potential exploitation.

8.3 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://github.com/gradio-app/gradio/security/advisories/GHSA-3c67-5hwx-f6wx Mitigation Third Party Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:*
History

17 Oct 2024, 16:30

Type Values Removed Values Added
First Time Gradio Project gradio
Gradio Project
CWE NVD-CWE-Other
CPE cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:*
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 8.3
References () https://github.com/gradio-app/gradio/security/advisories/GHSA-3c67-5hwx-f6wx - () https://github.com/gradio-app/gradio/security/advisories/GHSA-3c67-5hwx-f6wx - Mitigation, Third Party Advisory

15 Oct 2024, 12:58

Type Values Removed Values Added
Summary
  • (es) Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad está relacionada con la **validación de origen CORS**, donde el servidor Gradio no puede validar el origen de la solicitud cuando hay una cookie presente. Esto permite que el sitio web de un atacante realice solicitudes no autorizadas a un servidor Gradio local. Potencialmente, los atacantes pueden cargar archivos, robar tokens de autenticación y acceder a los datos del usuario si la víctima visita un sitio web malicioso mientras está conectado a Gradio. Esto afecta a los usuarios que han implementado Gradio localmente y usan autenticación básica. Se recomienda a los usuarios que actualicen a `gradio>4.44` para solucionar este problema. Como workaround, los usuarios pueden aplicar manualmente una validación de origen CORS más estricta modificando la clase `CustomCORSMiddleware` en su código de servidor Gradio local. Específicamente, pueden omitir la condición que omite la validación CORS para las solicitudes que contienen cookies para evitar una posible explotación.

10 Oct 2024, 22:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-10-10 22:15

Updated : 2024-10-17 16:30

NVD link : CVE-2024-47084

Mitre link : CVE-2024-47084

CVE.ORG link : CVE-2024-47084

JSON object : View

Products Affected

gradio_project

  • gradio
CWE
NVD-CWE-Other CWE-285

Improper Authorization


NetmanageIT Website NetmanageIT OSINT Web NetmanageIT OpenCTI NetmanageIT PDF Tools NetmanageIT CTO Corner Blog NetmanageIT Email Header Analyzer NetmanageIT Password Pusher NetmanageIT Internet Health and Latency Dashboard NetmanageIT Dedicated Speed Test Site NetmanageIT Ubuntu Mirror 10Gbps Copyright OpenCVE 2024