概要
CVE-2026-28414は、オープンソースのPythonパッケージであるGradioに存在する絶対パス・トラバーサルの脆弱性です。この脆弱性は、GradioアプリケーションがWindows環境でPython 3.13以降のバージョンで実行されている場合に発生します。認証されていない攻撃者がこの脆弱性を悪用することで、Gradioサーバー上の任意のファイルを読み取れる可能性があると報告されています。
Python 3.13以降でos.path.isabs関数の定義が変更されたことが原因で、Windows上のルート相対パス(例: /windows/win.ini)が絶対パスとして認識されなくなり、Gradioのパス結合ロジックに問題が生じたとされています。Gradioのバージョン6.7でこの問題は修正されています。
影響範囲
- 対象製品: Gradio
- 脆弱なバージョン: Gradio 6.7未満
- 対象OS: Windows
- 対象Pythonバージョン: Python 3.13以降
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- 認証されていない攻撃者によって、Gradioサーバー上の任意のファイルが読み取られる可能性があります。これには、設定ファイル、ログファイル、データベースファイル、認証情報などの機密情報が含まれる可能性があります。
- Gradioアプリケーションに認証機能が設定されている場合でも、この脆弱性は悪用される可能性があると報告されています。
攻撃成立条件・悪用状況
攻撃が成立するためには、GradioアプリケーションがWindows環境でPython 3.13以降のバージョンで稼働している必要があります。攻撃者は、Gradioアプリケーションにアクセスできる状態であれば、認証の有無にかかわらず、この脆弱性を悪用できる可能性があります。
現時点では、この脆弱性の具体的な悪用状況に関する詳細な情報は提供されていません。
推奨対策
今すぐできる対策(最優先)
- Gradioのアップデート: Gradioをバージョン6.7以降に速やかにアップデートしてください。これが最も効果的な対策です。
中長期的な対策
- 最小権限の原則: Gradioアプリケーションが稼働するサーバーにおいて、不要なファイルや機密情報を配置しないようにし、Gradioプロセスがアクセスできるファイルやディレクトリの権限を最小限に制限してください。
- セキュリティ監視の強化: サーバーやGradioアプリケーションのログを定期的に監視し、異常なファイルアクセスや不審な挙動がないか確認してください。
一時的な緩和策
- Pythonバージョンの見直し: もし可能であれば、GradioをPython 3.12以前の環境で運用することも一時的な緩和策となり得ます。ただし、これは根本的な解決ではなく、他の互換性やセキュリティ上の問題を引き起こす可能性もあるため、推奨度は低いことにご留意ください。
- ネットワークアクセスの制限: Gradioアプリケーションへのアクセスを、信頼できる内部ネットワークからのみに制限するなど、外部からのアクセスを厳しく制限することを検討してください。
確認方法
- 現在使用しているGradioのバージョンを確認してください。
- Gradioが稼働しているOSがWindowsであるか確認してください。
- 使用しているPythonのバージョンが3.13以降であるか確認してください。
参考情報
- CVE-2026-28414の詳細情報: https://cvefeed.io/vuln/detail/CVE-2026-28414