Plataforma
python
Componente
haotian-liu/llava
Una vulnerabilidad de Server-Side Request Forgery (SSRF) ha sido identificada en el proyecto llava, específicamente en la versión git c121f04 y versiones anteriores. Esta falla permite a un atacante manipular el servidor para que realice solicitudes HTTP a cualquier URL, lo que podría resultar en el acceso no autorizado a información confidencial. La vulnerabilidad fue publicada el 20 de marzo de 2025 y se recomienda aplicar las mitigaciones o actualizar a una versión corregida.
La vulnerabilidad SSRF en llava presenta un riesgo significativo, ya que permite a un atacante explotar el servidor para acceder a recursos internos que normalmente no serían accesibles desde el exterior. Un atacante podría, por ejemplo, solicitar información de metadatos de AWS, exponiendo credenciales y claves de acceso. Esto podría llevar a la exfiltración de datos sensibles, la modificación de configuraciones de la infraestructura en la nube o incluso la toma de control del servidor. La capacidad de realizar solicitudes arbitrarias amplía el alcance del ataque, permitiendo potencialmente el acceso a otros servicios internos o la realización de ataques a terceros a través del servidor comprometido.
La vulnerabilidad CVE-2024-12068 ha sido publicada recientemente y su probabilidad de explotación se considera media debido a la naturaleza de SSRF y la disponibilidad potencial de herramientas para automatizar la explotación. No se ha confirmado la adición a la lista KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad sugiere que podrían desarrollarse rápidamente. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations deploying LLaVA in cloud environments, particularly those utilizing AWS, are at heightened risk. Shared hosting environments where LLaVA is running alongside other applications are also vulnerable, as a successful SSRF attack could potentially compromise other tenants on the same server. Any deployment lacking robust outbound network controls is susceptible.
• python / server:
import requests
import os
def check_llava_ssrf(url):
try:
response = requests.get(url, timeout=5, verify=False)
print(f"URL {url} returned status code: {response.status_code}")
return True
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
return False
# Example usage (replace with your target URL)
target_url = os.environ.get('TARGET_URL', 'http://localhost:8000/api/some_endpoint')
check_llava_ssrf(target_url)• generic web:
curl -v http://your-llava-instance/api/some_endpoint > /dev/null 2>&1 | grep -i 'Internal Server Error'disclosure
Estado del Exploit
EPSS
0.12% (32% percentil)
CISA SSVC
Vector CVSS
Si no es posible actualizar a una versión corregida de llava de inmediato, se recomienda implementar medidas de mitigación para reducir el riesgo. Una estrategia clave es restringir las URLs a las que el servidor puede acceder, implementando una lista blanca de dominios permitidos. Además, se debe configurar un firewall de aplicaciones web (WAF) para filtrar solicitudes maliciosas y bloquear intentos de SSRF. Es crucial revisar y endurecer la configuración del servidor, asegurándose de que no haya rutas de acceso innecesarias a recursos sensibles. Monitorear los registros del servidor en busca de patrones sospechosos de solicitudes HTTP a URLs inesperadas también es fundamental.
Actualice la biblioteca llava a la última versión disponible. Revise las notas de la versión para asegurarse de que la vulnerabilidad SSRF ha sido corregida. Si no hay una versión corregida disponible, implemente medidas de seguridad adicionales, como la validación y el filtrado de las URLs proporcionadas por el usuario, para mitigar el riesgo de SSRF.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-12068 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en el proyecto llava que permite a atacantes realizar solicitudes HTTP a URLs arbitrarias, potencialmente accediendo a datos sensibles.
Si está utilizando llava en la versión git c121f04 o anterior, es probable que esté afectado. Verifique su versión y aplique las mitigaciones o actualice.
Actualice a la última versión de llava o implemente mitigaciones como restringir las URLs permitidas, configurar un WAF y revisar la configuración del servidor.
Aunque no se han confirmado explotaciones activas, la naturaleza de la vulnerabilidad sugiere que podría ser explotada. Monitoree las fuentes de inteligencia de amenazas.
Consulte el repositorio oficial de llava en GitHub para obtener información y avisos relacionados con CVE-2024-12068.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.