Informazioni sul CVE-2024-2206
SSRF Vulnerability in gradio-app/gradio
CWE ID: CWE-918
Base Score (CVSS): N/A
CVE: CVE-2024-2206
Descrizione: Una vulnerabilità SSRF esiste nel gradio-app/gradio a causa di una convalida insufficiente dei URL forniti dall’utente nel percorso `/proxy`. Gli attaccanti possono sfruttare questa vulnerabilità manipolando il set `self.replica_urls` tramite l’header `X-Direct-Url` nelle richieste al `/` e `/config` per aggiungere URL proxy in modo arbitrario. Questo difetto consente proxying non autorizzato di richieste e potenzialmente l’accesso a endpoint interni all’interno dello spazio Hugging Face. Il problema deriva dalla mancata verifica sicura dei URL nel processo di `build_proxy_request` dell’applicazione.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/2286c1ed-b889-45d6-adda-7014ea06d98e
- https://github.com/gradio-app/gradio/commit/49d9c48537aa706bf72628e3640389470138bdc6
Prodotti interessati
- gradio-app – gradio-app/gradio
Relazioni con altri prodotti
Produttore:gradio-app
Prodotto: gradio-app/gradio
Anno: 2024
CWE: CWE-918
CVSS: 0.0