Gradio - это пакет Python с открытым исходным кодом, предназначенный для быстрого прототипирования. До версии 6.6.0 уязвимость подделки зап…
Gradio - это пакет Python с открытым исходным кодом, предназначенный для быстрого прототипирования. До версии 6.6.0 уязвимость подделки запроса на серверную сторону (SSRF) в Gradio позволяет злоумышленнику делать произвольные HTTP-запросы с сервера жертвы, размещая вредоносное пространство Gradio. Когда приложение-жертва использует `gr.load()` для загрузки контролируемого злоумышленником Пространства, вредоносное `proxy_url` от конфигурирования доверяют и добавляют в разрешительный список, что позволяет злоумышленнику получить доступ к внутренним службам, конечным точкам облачных метаданных и частным сетям через инфраструктуру жертвы. Версия 6.6.0 исправляет проблему.
Веб-сервер получает URL или аналогичный запрос от вышестоящего компонента и извлекает содержимое по этому URL, однако не обеспечивает в достаточной мере, что запрос направляется к ожидаемому адресату.
https://cwe.mitre.org/data/definitions/918.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/664.html →Открыть в коллекции CAPEC →