CVE-2024-47867

Gradio is an open-source Python package designed for quick prototyping. This vulnerability is a **lack of integrity check** on the downloaded FRP client, which could potentially allow attackers to introduce malicious code. If an attacker gains access to the remote URL from which the FRP client is downloaded, they could modify the binary without detection, as the Gradio server does not verify the file's checksum or signature. Any users utilizing the Gradio server's sharing mechanism that downloads the FRP client could be affected by this vulnerability, especially those relying on the executable binary for secure data tunneling. There is no direct workaround for this issue without upgrading. However, users can manually validate the integrity of the downloaded FRP client by implementing checksum or signature verification in their own environment to ensure the binary hasn't been tampered with.
Configurations

Configuration 1 (hide)

cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:*

History

15 Nov 2024, 16:44

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.5
References () https://github.com/gradio-app/gradio/security/advisories/GHSA-8c87-gvhj-xm8m - () https://github.com/gradio-app/gradio/security/advisories/GHSA-8c87-gvhj-xm8m - Vendor Advisory
CWE NVD-CWE-Other
First Time Gradio Project
Gradio Project gradio
CPE cpe:2.3:a:gradio_project:gradio:*:*:*:*:*:python:*:*

15 Oct 2024, 12:58

Type Values Removed Values Added
Summary
  • (es) Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Esta vulnerabilidad es una **falta de comprobación de integridad** en el cliente FRP descargado, lo que podría permitir a los atacantes introducir código malicioso. Si un atacante obtiene acceso a la URL remota desde la que se descarga el cliente FRP, podría modificar el binario sin ser detectado, ya que el servidor Gradio no verifica la suma de comprobación ni la firma del archivo. Cualquier usuario que utilice el mecanismo de uso compartido del servidor Gradio que descarga el cliente FRP podría verse afectado por esta vulnerabilidad, especialmente aquellos que dependen del binario ejecutable para la tunelización segura de datos. No existe un workaround directo para este problema sin actualizar. Sin embargo, los usuarios pueden validar manualmente la integridad del cliente FRP descargado implementando la suma de comprobación o la verificación de la firma en su propio entorno para asegurarse de que el binario no haya sido alterado.

10 Oct 2024, 23:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-10 23:15

Updated : 2024-11-15 16:44


NVD link : CVE-2024-47867

Mitre link : CVE-2024-47867

CVE.ORG link : CVE-2024-47867


JSON object : View

Products Affected

gradio_project

  • gradio
CWE
NVD-CWE-Other CWE-345

Insufficient Verification of Data Authenticity