CVE-2025-23042 (CVSS 9.1): Gradio 修补了流行机器学习平台中的关键 ACL 旁路漏洞

阅读量47675

发布时间 : 2025-01-16 11:16:26

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2025-23042-cvss-9-1-gradio-patches-critical-acl-bypass-flaw-in-popular-machine-learning-platform/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2025-23042

用于创建机器学习演示和网络应用的流行开源 Python 库 Gradio 最近修补了一个高严重性漏洞。该漏洞被认定为 CVE-2025-23042,CVSS 得分为 9.1,它通过绕过访问控制列表 (ACL) 暴露了敏感文件。

该漏洞源于 Gradio 的文件路径验证逻辑缺乏大小写规范化。根据该公告,“Gradio 针对文件路径的访问控制列表(ACL)可以通过更改受阻文件或目录路径的字母大小写来绕过”。这个问题主要影响不区分大小写的文件系统,如 Windows 和 macOS。

在这些环境中,攻击者可以利用该漏洞,通过更改字母大小写来访问受阻路径。例如,可以通过请求资源/adMin/credential.txt 这样的文件来访问资源/admin/credential.txt 这样的受限文件路径。该公告提供了一个清晰的示例,说明了这一漏洞的工作原理。

该漏洞的潜在后果非常严重,尤其是对生产环境而言:

  • 未经授权访问: 攻击者可以访问 blocked_paths 中指定的敏感文件或目录。
  • 数据泄露: 配置文件或 API 密钥等关键文件可能会泄露。
  • 更广泛的破坏:如果暴露的文件包含凭证,攻击者可能会提升权限或破坏应用程序的安全模型。

CVE-2025-23042 漏洞源于 Gradio 依赖 is_in_or_equal 函数来确定文件访问权限。然而,在不区分大小写的文件系统中,该函数未能考虑文件路径的大小写变化。

Gradio 团队在路径验证逻辑中引入了大小写规范化,从而解决了这一问题。根据公告,“在根据 ACL 评估路径之前,对请求路径和受阻路径的大小写进行规范化处理(例如,将所有路径转换为小写)”。

Gradio 项目已在 5.11.0 版本中解决了这一漏洞。强烈建议用户立即更新到最新版本。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66