Platform
python
Component
haotian-liu/llava
CVE-2024-11449 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in LLaVA, een Python-gebaseerd project. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot interne netwerken of gevoelige data, zoals de AWS metadata endpoint, door middel van de /run/predict endpoint. De kwetsbaarheid treft versies van LLaVA tot en met de laatste beschikbare versie. Het is aanbevolen om direct te upgraden naar de meest recente, beveiligde versie.
Een succesvolle exploitatie van CVE-2024-11449 kan aanzienlijke gevolgen hebben. Een aanvaller kan interne netwerkbronnen scannen en benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit omvat potentieel het uitlezen van de AWS metadata endpoint, wat kan leiden tot blootstelling van cloud credentials en configuratiegegevens. Verder kan de SSRF-aanval gebruikt worden om andere interne systemen te compromitteren, wat resulteert in een grotere blast radius. De mogelijkheid om interne services te benaderen, opent de deur naar verdere aanvallen, zoals data-exfiltratie en het uitvoeren van commando's op kwetsbare systemen.
Op dit moment (2025-03-20) is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn geen bekende public proof-of-concept exploits. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de publicatiedatum is 2025-03-20. De EPSS score is momenteel onbekend, maar gezien de potentiële impact en de publicatie van de CVE, is het belangrijk om deze kwetsbaarheid serieus te nemen.
Organizations deploying LLaVA in environments with access to sensitive internal resources, particularly those utilizing AWS infrastructure, are at significant risk. Shared hosting environments where LLaVA is deployed alongside other applications could also be vulnerable, as an attacker could potentially leverage the SSRF vulnerability to access resources belonging to other tenants.
• python / server:
import requests
import urllib.parse
def check_ssrf(url):
try:
parsed_url = urllib.parse.urlparse(url)
if parsed_url.netloc == '169.254.169.254':
print(f"Potential SSRF detected: {url}")
else:
print(f"URL is safe: {url}")
except Exception as e:
print(f"Error parsing URL: {e}")
# Example usage
check_ssrf('http://169.254.169.254/latest/meta-data/')• generic web:
curl -I 'http://your-llava-server/run/predict?path=http://169.254.169.254/latest/meta-data/'Examine the response headers and body for any signs of internal network access.
disclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-11449 is het upgraden naar de meest recente versie van LLaVA, waar deze kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de /run/predict endpoint te beveiligen. Configureer de WAF om verzoeken met potentieel schadelijke padparameters te blokkeren. Zorg ervoor dat de LLaVA-applicatie draait in een geïsoleerde omgeving met beperkte netwerktoegang om de impact van een succesvolle exploitatie te minimaliseren. Na de upgrade, verifieer de fix door een testverzoek te sturen naar de /run/predict endpoint met een interne resource als doel, en controleer of dit wordt geblokkeerd.
Werk de LLaVA bibliotheek bij naar een gepatchte versie die de SSRF kwetsbaarheid in het /run/predict endpoint verhelpt. Controleer de release notes of de changelog om de versie te identificeren die de oplossing bevat. Als tijdelijke maatregel, implementeer een robuuste validatie van gebruikersinvoer in het /run/predict endpoint om manipulatie van het pad te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11449 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in LLaVA, waardoor een aanvaller mogelijk ongeautoriseerde toegang kan krijgen tot interne netwerken.
Ja, als u een versie van LLaVA gebruikt die ≤latest is, dan bent u mogelijk getroffen door deze kwetsbaarheid.
Upgrade naar de meest recente versie van LLaVA om deze kwetsbaarheid te verhelpen. Implementeer een WAF als een tijdelijke maatregel.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild, maar het is belangrijk om deze kwetsbaarheid serieus te nemen.
Raadpleeg de officiële LLaVA documentatie en GitHub repository voor updates en beveiligingsadviezen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.