CVE-2026-48545
MediumCVSS 6.8Summary
Gradio przed wersją 6.15.0 zawiera podatność na wstrzykiwanie ciasteczek, która pozwala zdalnym atakującym na przeprowadzenie ataku typu cross-Space session fixation. Atakujący mogą wykorzystać wspólny modułowy klient HTTP, aby wprowadzić ciasteczko domeny nadrzędnej, które jest przechowywane i automatycznie odtwarzane w kolejnych żądaniach proxy do innych legalnych Spaces.
Risk Assessment
Podatność ta może prowadzić do przejęcia sesji użytkowników korzystających z tej samej instancji Gradio, co stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników.
Recommendation
Zaleca się aktualizację Gradio do wersji 6.15.0 lub nowszej, aby usunąć tę podatność oraz monitorowanie i audyt aktywności użytkowników w celu wykrycia potencjalnych nadużyć.
Original NVD description (English source)
Gradio before version 6.15.0 contains a cookie injection vulnerability that allows remote attackers to perform cross-Space session fixation by exploiting a shared module-level HTTP client used across all users in the reverse proxy endpoint. Attackers controlling any HF Space can return a parent-domain cookie that the shared client stores and automatically replays into all subsequent proxy requests to other legitimate Spaces, affecting all users of the same Gradio deployment.

