Plateforme
python
Composant
haotian-liu/llava
Une vulnérabilité d'inclusion locale de fichier (LFI) a été découverte dans le projet LLava (haotian-liu/llava) jusqu'à la version la plus récente. Cette faille permet à un attaquant d'accéder à des fichiers arbitraires sur le système en envoyant une série de requêtes spécialement conçues à l'interface web Gradio. Il est crucial de mettre à jour LLava vers une version corrigée ou d'appliquer des mesures de mitigation pour réduire le risque d'exploitation.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire n'importe quel fichier accessible au processus serveur LLava. Cela peut inclure des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe ou d'autres données confidentielles. L'attaquant pourrait également utiliser cette vulnérabilité pour exécuter du code arbitraire sur le système si des fichiers exécutables sont accessibles et peuvent être manipulés. Le risque est exacerbé si LLava est déployé dans un environnement de production avec des données sensibles ou s'il est utilisé pour traiter des informations confidentielles.
Cette vulnérabilité a été rendue publique le 20 mars 2025. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une interaction avec l'interface web et de la complexité potentielle des requêtes malveillantes. Des preuves de concept (PoC) publiques pourraient être disponibles, ce qui pourrait augmenter le risque d'exploitation.
Users deploying LLaVA for research or experimentation, particularly those using the gradio web UI for interactive demonstrations, are at risk. Shared hosting environments where LLaVA is deployed alongside other applications are also vulnerable, as a successful exploit could potentially compromise the entire host.
• python / server:
import os
import requests
# Target URL
url = "http://your-llava-server/gradio_app"
# Attempt to read a sensitive file
file_to_read = "/etc/passwd"
# Craft the request
params = {'file': file_to_read}
# Send the request
response = requests.get(url, params=params)
# Check the response
if response.status_code == 200:
print(f"File content: {response.text}")
else:
print(f"Request failed with status code: {response.status_code}")• linux / server:
# Monitor access logs for suspicious file requests
grep -i "/etc/passwd" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour LLava vers la dernière version disponible, qui devrait inclure une correction pour cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, des mesures temporaires peuvent être prises. Il est fortement recommandé de restreindre l'accès à l'interface web Gradio uniquement aux utilisateurs autorisés et de mettre en œuvre une validation stricte de toutes les entrées utilisateur. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte.
Actualice la biblioteca haotian-liu/llava a la última versión disponible. Esto debería incluir la corrección para la vulnerabilidad de inclusión de archivos locales. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-12065 ha sido abordada.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12065 is a vulnerability in LLaVA allowing attackers to read arbitrary files via crafted requests to the gradio web UI. It has a CVSS score of 7.5 (HIGH).
If you are using LLaVA versions up to the latest release and have the gradio web UI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of LLaVA as soon as it becomes available. Until then, restrict file access and implement stricter input validation.
As of 2025-03-20, there are no known public exploits or active campaigns targeting this vulnerability, but it should be monitored closely.
Refer to the LLaVA project's official website and GitHub repository for updates and security advisories related to CVE-2024-12065.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.