JVNDB-2026-006380

Gradio projectのGradioにおける複数の脆弱性

Gradioは迅速なプロトタイピングのために設計されたオープンソースのPythonパッケージです。バージョン4.16.0から6.6.0未満の間、Hugging Face Spaces外で動作するGradioアプリケーションは、OAuthコンポーネント（例："gr.LoginButton"）を使用している場合、自動的に「モック」OAuthルートを有効にします。ユーザーが"/login/huggingface"にアクセスすると、サーバーは自身のHugging Faceアクセストークンを"huggingface_hub.get_token()"を介して取得し、それを訪問者のセッションクッキーに保存します。アプリケーションがネットワーク経由でアクセス可能な場合、リモートの攻撃者がこのフローをトリガーしてサーバー所有者のHFトークンを盗む可能性があります。セッションクッキーは"-v4"という文字列から派生したハードコードされた秘密鍵で署名されており、ペイロードのデコードが非常に容易です。この問題はバージョン6.6.0で修正されました。

Gradio project

• Gradio 4.16.0 以上 6.6.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Mocked OAuth Login Exposes Server Credentials and Uses Hardcoded Session Secret  Advisory  gradio-app/gradio  GitHub

1. 認証情報の不十分な保護(CWE-522) [その他]
2. ハードコードされた認証情報の使用(CWE-798) [その他]

1. CVE-2026-27167

1. National Vulnerability Database (NVD) : CVE-2026-27167

• [2026年03月09日]
    掲載