CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48545

MediumCVSS 6.8
Published: Updated: Translated: NVD NIST

Summary

Gradio przed wersją 6.15.0 zawiera podatność na wstrzykiwanie ciasteczek, która pozwala zdalnym atakującym na przeprowadzenie ataku typu cross-Space session fixation. Atakujący mogą wykorzystać wspólny modułowy klient HTTP, aby wprowadzić ciasteczko domeny nadrzędnej, które jest przechowywane i automatycznie odtwarzane w kolejnych żądaniach proxy do innych legalnych Spaces.

Risk Assessment

Podatność ta może prowadzić do przejęcia sesji użytkowników korzystających z tej samej instancji Gradio, co stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników.

Recommendation

Zaleca się aktualizację Gradio do wersji 6.15.0 lub nowszej, aby usunąć tę podatność oraz monitorowanie i audyt aktywności użytkowników w celu wykrycia potencjalnych nadużyć.

Original NVD description (English source)

Gradio before version 6.15.0 contains a cookie injection vulnerability that allows remote attackers to perform cross-Space session fixation by exploiting a shared module-level HTTP client used across all users in the reverse proxy endpoint. Attackers controlling any HF Space can return a parent-domain cookie that the shared client stores and automatically replays into all subsequent proxy requests to other legitimate Spaces, affecting all users of the same Gradio deployment.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS