CVE-2024-10624
Regular Expression Denial of Service (ReDoS) in gradio-app/gradio
En resumen
Una debilidad en el componente gr.Datetime de Gradio permite que atacantes envíen entradas especialmente diseñadas que hacen que el servidor consuma tiempo excesivo de CPU procesando una expresión regular, congelando la aplicación y negando servicio a usuarios legítimos.
Detalle técnico
Una vulnerabilidad ReDoS en el patrón regex del componente gr.Datetime `^(?:\s*now\s*(?:-\s*(\d+)\s*([dmhs]))?)?\s*$` permite que atacantes remotos no autenticados causen correspondencia de regex en tiempo polinomial mediante solicitudes HTTP elaboradas, agotando recursos de CPU y causando denegación de servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Regular Expression Denial of Service (ReDoS) vulnerability exists in the gradio-app/gradio repository, affecting the gr.Datetime component. The affected version is git commit 98cbcae. The vulnerability arises from the use of a regular expression `^(?:\s*now\s*(?:-\s*(\d+)\s*([dmhs]))?)?\s*$` to process user input. In Python's default regex engine, this regular expression can take polynomial time to match certain crafted inputs. An attacker can exploit this by sending a crafted HTTP request, causing the gradio process to consume 100% CPU and potentially leading to a Denial of Service (DoS) condition on the server.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
gradio-app · gradio-app/gradio¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →