CVE-2026-49119
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 — wyżej niż 48% wszystkich znanych CVE
Streszczenie
Gradio przed wersją 6.16.0 zawiera podatność na przechodzenie po ścieżkach w komponencie FileExplorer w metodzie preprocess(). Nieuwierzytelniony atakujący może ominąć skonfigurowany katalog główny, dostarczając segmenty ścieżki zawierające sekwencje przechodzenia do katalogu nadrzędnego lub ścieżki absolutne. Może to prowadzić do odczytu dowolnych plików lub ujawnienia wrażliwych danych poza zamierzonym katalogiem.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości nieautoryzowanego dostępu do poufnych plików systemowych lub danych aplikacji, co może skutkować wyciekiem informacji, naruszeniem integralności danych lub dalszymi atakami na infrastrukturę.
Rekomendacja
Zaleca się natychmiastową aktualizację Gradio do wersji 6.16.0 lub nowszej, która usuwa tę podatność. Należy również przejrzeć konfigurację komponentu FileExplorer i ograniczyć dostęp do niego tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Gradio before 6.16.0 contain a path traversal vulnerability in the FileExplorer component's preprocess() method that allows unauthenticated attackers to escape the configured root directory by supplying path segments containing directory traversal sequences or absolute paths. Attackers can provide crafted path segments that cause os.path.join to discard the root_dir prefix entirely, resulting in arbitrary file read or exposure of sensitive files outside the intended directory.

