Plataforma
python
Componente
haotian-liu/llava
Se ha identificado una vulnerabilidad de inclusión de archivos local (LFI) en el proyecto llava (haotian-liu/llava). Esta falla permite a un atacante acceder a cualquier archivo del sistema al enviar múltiples solicitudes especialmente diseñadas al servidor. La vulnerabilidad se debe a una validación de entrada incorrecta en el componente de la interfaz de usuario web gradio, comprometiendo la confidencialidad de los datos almacenados en el sistema.
La inclusión de archivos local (LFI) en llava representa un riesgo significativo para la seguridad. Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el sistema, incluyendo archivos de configuración, claves privadas, contraseñas y código fuente. Esto podría conducir a la exposición de información confidencial, la ejecución remota de código (si se encuentran archivos ejecutables) y el control total del sistema. La capacidad de acceder a archivos del sistema permite un amplio rango de ataques, desde la exfiltración de datos hasta la modificación de la configuración del sistema.
La vulnerabilidad CVE-2024-12065 se publicó el 20 de marzo de 2025. Actualmente no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad LFI la hace susceptible a explotación. La probabilidad de explotación se considera moderada, dada la disponibilidad de herramientas y técnicas para explotar vulnerabilidades LFI.
Users deploying LLaVA for research or experimentation, particularly those using the gradio web UI for interactive demonstrations, are at risk. Shared hosting environments where LLaVA is deployed alongside other applications are also vulnerable, as a successful exploit could potentially compromise the entire host.
• python / server:
import os
import requests
# Target URL
url = "http://your-llava-server/gradio_app"
# Attempt to read a sensitive file
file_to_read = "/etc/passwd"
# Craft the request
params = {'file': file_to_read}
# Send the request
response = requests.get(url, params=params)
# Check the response
if response.status_code == 200:
print(f"File content: {response.text}")
else:
print(f"Request failed with status code: {response.status_code}")• linux / server:
# Monitor access logs for suspicious file requests
grep -i "/etc/passwd" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación inmediata para CVE-2024-12065 implica revisar y fortalecer la validación de entrada en el componente gradio de la interfaz de usuario web. Implementar una lista blanca estricta de archivos permitidos y rechazar cualquier solicitud que intente acceder a archivos fuera de esta lista. Además, se recomienda restringir los permisos de acceso a los archivos del sistema para limitar el daño potencial en caso de una explotación exitosa. Si la actualización a una versión corregida no es posible de inmediato, considere implementar un firewall de aplicaciones web (WAF) con reglas para bloquear solicitudes que contengan patrones sospechosos de inclusión de archivos. La verificación de la mitigación se realiza confirmando que las solicitudes maliciosas son bloqueadas y que el acceso a archivos sensibles está restringido.
Actualice la biblioteca haotian-liu/llava a la última versión disponible. Esto debería incluir la corrección para la vulnerabilidad de inclusión de archivos locales. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-12065 ha sido abordada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12065 is a vulnerability in LLaVA allowing attackers to read arbitrary files via crafted requests to the gradio web UI. It has a CVSS score of 7.5 (HIGH).
If you are using LLaVA versions up to the latest release and have the gradio web UI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of LLaVA as soon as it becomes available. Until then, restrict file access and implement stricter input validation.
As of 2025-03-20, there are no known public exploits or active campaigns targeting this vulnerability, but it should be monitored closely.
Refer to the LLaVA project's official website and GitHub repository for updates and security advisories related to CVE-2024-12065.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.