CVE-2024-10624
Regular Expression Denial of Service (ReDoS) in gradio-app/gradio
Em resumo
Uma falha no componente gr.Datetime do Gradio permite que atacantes enviem entradas especialmente elaboradas que fazem o servidor gastar tempo excessivo de CPU processando uma expressão regular, congelando a aplicação e negando serviço aos usuários legítimos.
Detalhe técnico
Uma vulnerabilidade ReDoS no padrão regex do componente gr.Datetime `^(?:\s*now\s*(?:-\s*(\d+)\s*([dmhs]))?)?\s*$` permite que atacantes remotos não autenticados provoquem correspondência de regex em tempo polinomial por meio de requisições HTTP elaboradas, esgotando recursos de CPU e causando negação de serviço.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Regular Expression Denial of Service (ReDoS) vulnerability exists in the gradio-app/gradio repository, affecting the gr.Datetime component. The affected version is git commit 98cbcae. The vulnerability arises from the use of a regular expression `^(?:\s*now\s*(?:-\s*(\d+)\s*([dmhs]))?)?\s*$` to process user input. In Python's default regex engine, this regular expression can take polynomial time to match certain crafted inputs. An attacker can exploit this by sending a crafted HTTP request, causing the gradio process to consume 100% CPU and potentially leading to a Denial of Service (DoS) condition on the server.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
gradio-app · gradio-app/gradioQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →