Intelligence Artificielle||4 sources
Gradio corrige une redirection ouverte dans son flux OAuth, vulnérable au hameçonnage
Une vulnérabilité de redirection ouverte (CVE-2026-28415) dans Gradio < 6.6.0 permet des phishing via OAuth. Corrigée en février 2026 par sanitation des URLs.
Gradio, bibliothèque Python open source pour les interfaces d'apprentissage automatique et populaire sur Hugging Face Spaces, a corrigé le 27 février 2026 une vulnérabilité de redirection ouverte (CVE-2026-28415) dans son flux d'authentification OAuth. Cette faille touche les versions antérieures à 6.6.0 et permet à un attaquant de manipuler le paramètre targeturl dans la fonction redirectto_target du fichier gradio/oauth.py. Sans validation adéquate, le serveur renvoie une redirection HTTP 302 vers un site externe arbitraire, exploitant la confiance accordée aux domaines légitimes comme Hugging Face Spaces. Classée CWE-601, cette brèche expose les utilisateurs d'applications Gradio intégrant OAuth, notamment via les boutons de connexion gr.LoginButton. Les points d'entrée vulnérables incluent les endpoints /login/callback et /logout, fréquemment utilisés dans les démonstrations d'apprentissage automatique hébergées publiquement. Un proof-of-concept est disponible, facilitant les attaques de hameçonnage pour voler des identifiants ou diffuser des malwares. Bien que le score EPSS de 0,00028 indique un risque d'exploitation faible, la popularité de Gradio amplifie les implications potentielles dans l'écosystème des prototypes ML. La version 6.6.0 résout le problème en analysant l'URL avec urllib.parse.urlparse et en ne conservant que le chemin, la requête et le fragment, limitant ainsi les redirections à des URLs relatives. Le score CVSS v3.1 de 4.3 (moyen) reflète un impact modéré, limité à l'intégrité sans compromettre la confidentialité ni la disponibilité. Les développeurs sont invités à mettre à jour immédiatement toutes les instances vulnérables pour prévenir tout abus. Gradio demeure un outil essentiel pour le prototypage rapide d'interfaces d'apprentissage automatique, particulièrement prisé sur Hugging Face Spaces qui héberge des milliers de démonstrations publiques. Cette vulnérabilité souligne les risques inhérents aux flux OAuth dans les environnements de développement agiles, où la simplicité peut primer sur la robustesse sécuritaire. Les mainteneurs continuent de surveiller les rapports de sécurité, et aucun incident majeur n'a été signalé à ce jour, renforçant l'importance d'une vigilance accrue dans le paysage concurrentiel des bibliothèques ML open source.
4 sources
Article enrichi par l'IA
Cet article a été enrichi avec du contexte additionnel provenant des connaissances de l'IA (historique, comparaisons, données techniques). Les sources éditoriales restent la base factuelle.
CVE-2026-28415: Open Redirect in Gradio OAuth Flow Enables Phishing Attacks
Source éditoriale·Dev.to·1 mars 2026
CVE-2026-28415 : Gradio is an open-source Python package designed for quick prototyping. Prior to
Recherche web·CVE Details
🚨Medium Risk Alert!🚨 Gradio, an open-source Python package, has a vulnerability (CVE-2026-28415)
Recherche web·LinkedIn
Background on Gradio: Popular library for ML demos on Hugging Face Spaces, OAuth usage context, and open redirect risks in prototyping tools
Contexte IA