Vulnerabilidad en Gradio (CVE-2024-47869)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/10/2024
Última modificación:
17/10/2024
Descripción
Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad implica un **ataque de tiempo** en la forma en que Gradio compara los hashes para la función `analytics_dashboard`. Dado que la comparación no se realiza en tiempo constante, un atacante podría aprovechar esto midiendo el tiempo de respuesta de diferentes solicitudes para inferir el hash correcto byte a byte. Esto puede provocar un acceso no autorizado al panel de análisis, especialmente si el atacante puede consultar repetidamente el sistema con diferentes claves. Se recomienda a los usuarios que actualicen a `gradio>4.44` para mitigar este problema. Para mitigar el riesgo antes de aplicar el parche, los desarrolladores pueden parchear manualmente el panel `analytics_dashboard` para utilizar una función de **comparación en tiempo constante** para comparar valores sensibles, como los hashes. Alternativamente, se puede deshabilitar el acceso al panel de análisis.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:* | 4.44.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página