Platform
python
Component
haotian-liu/llava
CVE-2024-12065 beschrijft een Local File Inclusion (LFI) kwetsbaarheid in de LLaVA applicatie, specifiek in de gradio web UI component. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te benaderen door middel van zorgvuldig geconstrueerde verzoeken. De kwetsbaarheid treft versies van LLaVA tot en met de laatste beschikbare versie. Een oplossing is beschikbaar in de vorm van een update.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om gevoelige systeembestanden te lezen, waaronder configuratiebestanden, wachtwoorden en andere vertrouwelijke informatie. Dit kan leiden tot volledige controle over het systeem, data-exfiltratie en verdere aanvalsmogelijkheden. De mogelijkheid om willekeurige bestanden te benaderen, opent de deur naar diverse aanvallen, zoals het uitvoeren van code via het benaderen van scripts of het verkrijgen van inloggegevens. Het is vergelijkbaar met LFI kwetsbaarheden die in andere webapplicaties zijn aangetroffen, waarbij de toegang tot systeembestanden de basis vormt voor verdere exploitatie.
De kwetsbaarheid is openbaar bekend sinds 2025-03-20. Er is geen informatie beschikbaar over actieve exploitatiecampagnes of toevoeging aan de CISA KEV catalogus op dit moment. Er zijn geen publiekelijk beschikbare Proof-of-Concept (PoC) exploits bekend, maar de aard van een LFI kwetsbaarheid maakt het waarschijnlijk dat dergelijke exploits snel zullen verschijnen.
Users deploying LLaVA for research or experimentation, particularly those using the gradio web UI for interactive demonstrations, are at risk. Shared hosting environments where LLaVA is deployed alongside other applications are also vulnerable, as a successful exploit could potentially compromise the entire host.
• python / server:
import os
import requests
# Target URL
url = "http://your-llava-server/gradio_app"
# Attempt to read a sensitive file
file_to_read = "/etc/passwd"
# Craft the request
params = {'file': file_to_read}
# Send the request
response = requests.get(url, params=params)
# Check the response
if response.status_code == 200:
print(f"File content: {response.text}")
else:
print(f"Request failed with status code: {response.status_code}")• linux / server:
# Monitor access logs for suspicious file requests
grep -i "/etc/passwd" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten naar een beveiligde versie van LLaVA zodra deze beschikbaar is. Totdat een update beschikbaar is, kan een tijdelijke oplossing bestaan uit het implementeren van strenge inputvalidatie in de gradio web UI component. Dit omvat het whitelisten van toegestane bestanden en het afwijzen van alle andere verzoeken. Het configureren van een Web Application Firewall (WAF) om LFI-pogingen te detecteren en te blokkeren is een andere optie. Controleer ook de permissies van bestanden en directories om te zorgen dat de applicatie alleen toegang heeft tot de benodigde resources.
Actualice la biblioteca haotian-liu/llava a la última versión disponible. Esto debería incluir la corrección para la vulnerabilidad de inclusión de archivos locales. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-12065 ha sido abordada.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12065 is a vulnerability in LLaVA allowing attackers to read arbitrary files via crafted requests to the gradio web UI. It has a CVSS score of 7.5 (HIGH).
If you are using LLaVA versions up to the latest release and have the gradio web UI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of LLaVA as soon as it becomes available. Until then, restrict file access and implement stricter input validation.
As of 2025-03-20, there are no known public exploits or active campaigns targeting this vulnerability, but it should be monitored closely.
Refer to the LLaVA project's official website and GitHub repository for updates and security advisories related to CVE-2024-12065.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.