| Summary | In gradio <=4.42.0, the gr.DownloadButton function has a hidden server-side request forgery (SSRF) vulnerability. The reason is that within the save_url_to_cache function, there are no restrictions on the URL, which allows access to local target resources. This can lead to the download of local resources and sensitive information. |
|---|---|
| Publication Date | Nov. 5, 2024, 8:15 a.m. |
| Registration Date | Nov. 5, 2024, noon |
| Last Update | Nov. 7, 2024, 5:35 a.m. |
| Title | Gradio project の Python 用 Gradio におけるサーバサイドのリクエストフォージェリの脆弱性 |
|---|---|
| Summary | Gradio project の Python 用 Gradio には、サーバサイドのリクエストフォージェリの脆弱性が存在します。 |
| Possible impacts | 情報を取得される可能性があります。 |
| Solution | 参考情報を参照して適切な対策を実施してください。 |
| Publication Date | Nov. 4, 2024, midnight |
| Registration Date | June 16, 2025, 10:08 a.m. |
| Last Update | June 16, 2025, 10:08 a.m. |
| Gradio project |
| Gradio 4.42.0 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2025年06月16日] 掲載 |
June 16, 2025, 10:08 a.m. |