Plateforme
python
Composant
llamafactory
Corrigé dans
0.9.5
0.9.4
La vulnérabilité CVE-2025-61784 est une faille de type Server-Side Request Forgery (SSRF) découverte dans llamafactory. Cette faille permet à un utilisateur authentifié de manipuler le serveur pour qu'il effectue des requêtes HTTP arbitraires, compromettant potentiellement la sécurité des données et des services internes. Elle affecte les versions de llamafactory inférieures ou égales à 0.9.3 et a été corrigée dans la version 0.9.4.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles de sécurité et d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des bases de données sensibles, des informations de configuration critiques ou d'autres services internes. De plus, la vulnérabilité LFI associée permet la lecture de fichiers arbitraires sur le système de fichiers du serveur, augmentant considérablement le potentiel d'atteinte. Un attaquant pourrait utiliser cette faille pour effectuer une reconnaissance approfondie du réseau interne, identifier des vulnérabilités supplémentaires et potentiellement compromettre d'autres systèmes.
La vulnérabilité CVE-2025-61784 a été publiée le 7 octobre 2025. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA ni de scores EPSS disponibles à ce jour. Il n'existe pas de Proof of Concept (PoC) public connu, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des acteurs malveillants.
Organizations deploying llamafactory in production environments, particularly those with internal services accessible via HTTP or HTTPS, are at risk. Environments with weak authentication or inadequate network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same llamafactory instance are also at increased risk.
• python / server:
import requests
import urllib.parse
def check_ssrf(url):
try:
parsed_url = urllib.parse.urlparse(url)
if parsed_url.scheme in ('http', 'https'):
response = requests.get(url, timeout=5)
if response.status_code != 200:
print(f"Potential SSRF detected: {url} - Status Code: {response.status_code}")
else:
print(f"URL {url} accessible.")
else:
print(f"Invalid URL scheme: {url}")
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
# Example usage (replace with actual URL patterns)
check_ssrf("http://localhost:8080")
check_ssrf("http://169.254.169.254/latest/meta-data/")• generic web:
curl -I 'http://your-llamafactory-server/api/chat?message=http://internal-service/'• linux / server:
journalctl -u llamafactory -f | grep -i "request:"disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour llamafactory vers la version 0.9.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en mettant en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes. Il est également recommandé de restreindre les autorisations des utilisateurs authentifiés et de surveiller attentivement les journaux d'accès pour détecter toute activité anormale. Vérifiez après la mise à jour que la version corrigée est bien installée et que les règles WAF sont correctement configurées.
Actualice LLaMA-Factory a la versión 0.9.4 o superior. Esto corrige las vulnerabilidades SSRF y LFI en la API de chat. La actualización se puede realizar utilizando el gestor de paquetes de Python, como pip.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-61784 is a Server-Side Request Forgery vulnerability in llamafactory versions up to 0.9.3, allowing attackers to make arbitrary HTTP requests and potentially access internal resources.
You are affected if you are using llamafactory versions 0.9.3 or earlier. Upgrade to version 0.9.4 or later to mitigate the vulnerability.
Upgrade to llamafactory version 0.9.4 or later. As a temporary workaround, restrict network access and implement input validation.
There is currently no confirmed evidence of active exploitation, but the vulnerability's public disclosure increases the risk of future attacks.
Refer to the llamafactory project's official website or GitHub repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.