gradio 漏洞列表
共找到 31 个与 gradio 相关的漏洞
📅 加载漏洞趋势中...
-
gradio /queue/join 服务器端请求伪造漏洞(CVE-2024-4325) 无POC
Gradio 是一个用于构建机器学习模型用户界面的开源 Python 库。Gradio 的 /queue/join 接口和 save_url_to_cache 函数存在服务端请求伪造(SSRF)漏洞。该漏洞源于对用户提供的 path 值(应为 URL)缺乏充分的验证,导致攻击者可以发送精心构造的请求,从而可能访问本地网络或 AWS 元数据端点,危及内部服务器的安全。 -
gradio /file 服务器端请求伪造漏洞(CVE-2024-1183) 无POC
Gradio是一个开源的Python库,通过友好的Web界面演示机器学习模型。Gradio的/file接口存在服务器端请求伪造(SSRF)漏洞,攻击者可以利用该漏洞扫描和识别内部网络中的开放端口,从而可能导致敏感信息泄露。 -
CVE-2021-43831: Gradio < 2.5.0 - Arbitrary File Read POC
Files on the host computer can be accessed from the Gradio interface -
CVE-2023-51449: Gradio Hugging Face - Local File Inclusion POC
Gradio LFI when auth is not enabled, affects versions 4.0 - 4.10, also works against Gradio < 3.33 -
CVE-2024-1183: Gradio - Server Side Request Forgery POC
An SSRF (Server-Side Request Forgery) vulnerability exists in the gradio-app/gradio repository, allowing attackers to scan and identify open ports within an internal network. By manipulating the 'file' parameter in a GET request, an attacker can discern the status of internal ports based on the presence of a 'Location' header or a 'File not allowed' error in the response. -
CVE-2024-1561: Gradio 4.3-4.12 - Local File Read POC
Local file read by calling arbitrary methods of Components class between Gradio versions 4.3-4.12 -
CVE-2024-1728: Gradio > 4.19.1 UploadButton - Path Traversal POC
gradio-app/gradio is vulnerable to a local file inclusion vulnerability due to improper validation of user-supplied input in the UploadButton component. -
CVE-2024-4325: Gradio - Server-Side Request Forgery POC
A Server-Side Request Forgery (SSRF) vulnerability exists in the gradio-app/gradio version 4.21.0, specifically within the `/queue/join` endpoint and the `save_url_to_cache` function. The vulnerability arises when the `path` value, obtained from the user and expected to be a URL, is used to make an HTTP request without sufficient validation checks. This flaw allows an attacker to send crafted requests that could lead to unauthorized access to the local network or the AWS metadata endpoint, thereby compromising the security of internal servers. -
CVE-2024-4940: Gradio - Open Redirect POC
An open redirect vulnerability exists in the gradio-app/gradio, affecting the latest version. The vulnerability allows an attacker to redirect users to arbitrary websites, which can be exploited for phishing attacks, Cross-site Scripting (XSS), Server-Side Request Forgery (SSRF), amongst others. This issue is due to improper validation of user-supplied input in the handling of URLs. Attackers can exploit this vulnerability by crafting a malicious URL that, when processed by the application, redirects the user to an attacker-controlled web page. -
CVE-2024-8021: Gradio - Open Redirect POC
Gradio allows an open redirect bypass via URL encoding, enabling attackers to redirect users to malicious sites. This can lead to phishing attacks and loss of trust in the application. -
Gradio UploadButton 目录遍历漏洞(CVE-2024-1728) 无POC
Gradio 是一个开源 Python 包,可让用户快速为机器学习模型、API 或任何任意模型构建演示或 Web 应用程序。Gradio > 4.19.1 版本存在目录遍历漏洞,攻击者可利用该漏洞读取系统敏感信息,可能导致信息泄露及其他安全风险。 -
Gradio /file 文件读取漏洞(CVE-2023-51449) 无POC
Gradio是一个开源的Python包,允许用户快速构建用于机器学习模型、API或任意Python函数的演示或Web应用程序。在Gradio 4.11.0之前的版本中,/file接口存在目录穿越漏洞,攻击者可以利用该漏洞读取系统中的任意文件(如数据库配置文件、系统配置文件等),从而导致敏感信息泄露。 -
Gradio 路径遍历漏洞 无POC
Gradio是Gradio开源的一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 5.0.0至5.4.0版本存在安全漏洞,该漏洞源于File或UploadButton组件在作为Gradio应用的一部分用于预览文件内容时,可能会被拥有应用访问权限的攻击者滥用,以读取应用服务器上的任意文件。 -
Gradio存在任意文件读取漏洞 无POC
Gradio由于在UploadButton组件中不正确地验证用户提供的输入,gradient-app/gradio容易受到本地文件包含漏洞的攻击,攻击者可利用此漏洞读取任意文件信息。 -
Gradio 代码问题漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 4.21.0 版本存在代码问题漏洞,该漏洞源于没有充分验证从用户获取的值,导致服务器端请求伪造漏洞。 -
Gradio 授权问题漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio存在授权问题漏洞,该漏洞源于授权不当,允许从分支main中的fork显式检出和执行代码,可能导致敏感信息泄露。 -
Gradio 命令注入漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 0.6.12及之前版本存在命令注入漏洞,该漏洞源于命令中使用的特殊元素中和不当,导致未授权修改基础仓库或机密信息泄露。 -
Gradio /component_server 任意文件读取漏洞(CVE-2024-1561) 无POC
Gradio的component server接口不正确地允许使用攻击者控制的参数调用Component类的任何方法。具体来说,通过利用Block类的move resource to block cache() 方法,攻击者可以将文件系统上的任何文件复制到临时目录,然后检索它。 -
Gradio应用程序-本地文件读取漏洞(CVE-2024-1561) 无POC
Gradio-app是一个用于构建和分享机器学习应用模型的开源工具,旨在通过网页界面展示机器学习模型。Gradio应用程序存在本地文件读取漏洞,攻击者可以读取到服务器文件。 -
Gradio file 存在SSRF漏洞(CVE-2024-1183) 无POC
Gradio-app是一个用于构建和分享机器学习应用模型的开源工具,旨在通过网页界面展示机器学习模型。Gradio存在SSRF漏洞,允许攻击者通过在urlparameter中注入特制的URL来迫使应用程序进行任意请求。 -
Gradio /component_server 文件读取漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 存在安全漏洞,该漏洞源于端点不正确地允许调用类上的任何方法,允许未经授权的本地文件读取访问,可能导致敏感信息泄露。 -
gradio 路径遍历漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 gradio存在路径遍历漏洞,该漏洞源于对用户提供的输入验证不正确。 -
Gradio 命令注入漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio存在命令注入漏洞,该漏洞源于通过命令注入可以导致信息泄露。 -
Gradio 代码问题漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 存在代码问题漏洞,该漏洞源于proxy 路由允许用户代理任意 URL,包括内部端点。 -
Gradio 跨站请求伪造漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio存在跨站请求伪造漏洞,该漏洞源于容易受到跨站请求伪造攻击。 -
Gradio 路径遍历漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio存在路径遍历漏洞,该漏洞源于API请求中用户提供的JSON值存在漏洞,可能会远程触发本地文件包含。 -
Gradio 路径遍历漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 4.11.0之前版本存在路径遍历漏洞,该漏洞源于/file存在路径遍历漏洞。 -
Gradio 命令注入漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 存在命令注入漏洞,该漏洞源于应用会将敏感信息暴露给未经授权的参与者。 -
Gradio 代码问题漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio v3.27.0 版本存在安全漏洞,该漏洞源于/upload接口存在任意文件上传漏洞。 -
Gradio 信任管理问题漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 3.13.1之前版本存在安全漏洞,该漏洞源于包含硬编码凭证的使用。 -
Gradio 路径遍历漏洞 无POC
Gradio是一个开源 Python 库,是通过友好的 Web 界面演示机器学习模型的方法。 Gradio 2.5.0之前的版本存在安全漏洞,攻击者可利用该漏洞访问主机上的任何文件.