haotian-liu/llava におけるサーバーサイドリクエストフォージェリ

このSSRF脆弱性は、攻撃者がLLaVAサーバーを介して、本来アクセスできないはずの内部ネットワークリソースや外部サービスにアクセスすることを可能にします。例えば、攻撃者はAWSメタデータエンドポイントにアクセスし、インスタンスIDや認証情報などの機密情報を盗み出す可能性があります。さらに、この脆弱性を悪用して、内部ネットワーク内の他のシステムへの攻撃を仕掛けることも考えられます。攻撃者は、LLaVAサーバーを足がかりに、ネットワーク全体に影響を及ぼす可能性があります。この脆弱性は、他のSSRF脆弱性と同様に、機密情報の漏洩や、ネットワークインフラストラクチャへの損害を引き起こす可能性があります。

Organizations deploying LLaVA in environments with access to sensitive internal resources, particularly those utilizing AWS infrastructure, are at significant risk. Shared hosting environments where LLaVA is deployed alongside other applications could also be vulnerable, as an attacker could potentially leverage the SSRF vulnerability to access resources belonging to other tenants.

• python / server:

import requests
import urllib.parse

def check_ssrf(url):
    try:
        parsed_url = urllib.parse.urlparse(url)
        if parsed_url.netloc == '169.254.169.254':
            print(f"Potential SSRF detected: {url}")
        else:
            print(f"URL is safe: {url}")
    except Exception as e:
        print(f"Error parsing URL: {e}")

# Example usage
check_ssrf('http://169.254.169.254/latest/meta-data/')

• generic web:

curl -I 'http://your-llava-server/run/predict?path=http://169.254.169.254/latest/meta-data/'

Examine the response headers and body for any signs of internal network access.

1. 2025-03-20Disclosure

   disclosure

1. 予約済み2024-11-19
2. 公開日2025-03-20
3. EPSS 更新日2026-04-02

この脆弱性への主な対策は、LLaVAを最新バージョンにアップデートすることです。アップデートが困難な場合は、入力値の検証を強化し、/run/predictエンドポイントへのアクセスを制限するWAF（Web Application Firewall）やプロキシサーバーのルールを実装することを検討してください。また、ネットワークセグメンテーションを実施し、LLaVAサーバーがアクセスできる範囲を制限することも有効です。AWS環境では、セキュリティグループの設定を見直し、不要なポートへのアクセスを遮断してください。アップデート後、LLaVAの動作を検証し、脆弱性が解消されていることを確認してください。