प्लेटफ़ॉर्म
python
घटक
llamafactory
में ठीक किया गया
0.9.5
0.9.4
CVE-2025-61784 llamafactory में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो प्रमाणित उपयोगकर्ताओं को मनमाने HTTP अनुरोध करने की अनुमति देता है। इससे आंतरिक सेवाओं का खुलासा हो सकता है या आंतरिक नेटवर्क की जानकारी प्राप्त की जा सकती है। यह भेद्यता llamafactory के संस्करण 0.9.3 और उससे पहले के संस्करणों को प्रभावित करती है। 0.9.4 संस्करण में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता हमलावरों को llamafactory सर्वर के माध्यम से आंतरिक नेटवर्क संसाधनों तक पहुंचने की अनुमति देती है। वे संवेदनशील डेटा उजागर कर सकते हैं, आंतरिक सेवाओं की खोज कर सकते हैं, या तीसरे पक्ष की सेवाओं के साथ बातचीत कर सकते हैं। इसके अतिरिक्त, एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता भी मौजूद है, जिससे हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाने फ़ाइलें पढ़ने की अनुमति मिलती है। यह भेद्यता आंतरिक नेटवर्क की सुरक्षा को गंभीर रूप से खतरे में डाल सकती है और डेटा उल्लंघन का कारण बन सकती है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले llamafactory सिस्टम में प्रमाणित होना होगा।
CVE-2025-61784 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण की कोई पुष्टि नहीं है। NVD और CISA ने 2025-10-07 को इस भेद्यता को प्रकाशित किया।
Organizations deploying llamafactory in production environments, particularly those with internal services accessible via HTTP or HTTPS, are at risk. Environments with weak authentication or inadequate network segmentation are especially vulnerable. Shared hosting environments where multiple users share the same llamafactory instance are also at increased risk.
• python / server:
import requests
import urllib.parse
def check_ssrf(url):
try:
parsed_url = urllib.parse.urlparse(url)
if parsed_url.scheme in ('http', 'https'):
response = requests.get(url, timeout=5)
if response.status_code != 200:
print(f"Potential SSRF detected: {url} - Status Code: {response.status_code}")
else:
print(f"URL {url} accessible.")
else:
print(f"Invalid URL scheme: {url}")
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
# Example usage (replace with actual URL patterns)
check_ssrf("http://localhost:8080")
check_ssrf("http://169.254.169.254/latest/meta-data/")• generic web:
curl -I 'http://your-llamafactory-server/api/chat?message=http://internal-service/'• linux / server:
journalctl -u llamafactory -f | grep -i "request:"disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-61784 को कम करने के लिए, llamafactory को तुरंत संस्करण 0.9.4 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके SSRF हमलों को रोकने के लिए नियमों को कॉन्फ़िगर करें। आंतरिक नेटवर्क संसाधनों तक पहुंच को सीमित करने के लिए llamafactory के कॉन्फ़िगरेशन को भी कड़ा किया जाना चाहिए। इसके अतिरिक्त, फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए उचित अनुमतियाँ लागू करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सिस्टम का परीक्षण करें।
Actualice LLaMA-Factory a la versión 0.9.4 o superior. Esto corrige las vulnerabilidades SSRF y LFI en la API de chat. La actualización se puede realizar utilizando el gestor de paquetes de Python, como pip.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-61784 llamafactory में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो प्रमाणित उपयोगकर्ताओं को मनमाने HTTP अनुरोध करने की अनुमति देती है।
यदि आप llamafactory के संस्करण 0.9.3 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-61784 को ठीक करने के लिए, llamafactory को संस्करण 0.9.4 में अपग्रेड करें।
सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
भेद्यता के बारे में जानकारी के लिए llamafactory की आधिकारिक वेबसाइट या सुरक्षा सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।