漏洞描述
Gradio是一个开源的Python包,允许用户快速构建用于机器学习模型、API或任意Python函数的演示或Web应用程序。在Gradio 4.11.0之前的版本中,/file接口存在目录穿越漏洞,攻击者可以利用该漏洞读取系统中的任意文件(如数据库配置文件、系统配置文件等),从而导致敏感信息泄露。
Gradio /file 文件读取漏洞(CVE-2023-51449)
PoC代码
暂无相关漏洞推荐
- POC JNPF快速开发平台 /api/file/Image/userAvatar/aa 文件读取漏洞
- 天地伟业 Easy7 /Easy7/rest/file/downloadWordRecord 文件读取漏洞
- Langflow /api/v1/files/profile_pictures/../langflow.db 目录遍历漏洞
- lsfusion /file/static/noauth 目录遍历漏洞(CVE-2025-13261)
- POC 大华智慧园区综合管理平台 /publishing/publishing/material/file/image 文件上传漏洞
- 大华智能物联综合管理平台 /evo-apigw/evo-cirs/file/download 文件读取漏洞
- 天锐绿盾审批系统 /trwfe/file/downFileByconfirm.do 文件读取漏洞
- 天锐绿盾审批系统 /trwfe/login.jsp/.%2e/file/addUpFile.do 文件上传漏洞
- 锐捷EWEB路由器 /ddi/server/fileupload.php 文件上传漏洞
- 新中大ERP企业管理软件 /filesrv/NGInterface/Index SQL 注入漏洞
- 天地伟业Easy7 /Easy7/rest/file/downloadNote 目录遍历漏洞
- POC gradio-image-ssrf: Gradio Image Component - Server-Side Request Forgery
- POC gradio-lfi: Gradio - Local File Inclusion