Plataforma
python
Componente
haotian-liu/llava
Uma vulnerabilidade de inclusão de arquivo local (LFI) foi descoberta no projeto llava (haotian-liu/llava) até o commit c121f04. Esta falha permite que um atacante acesse qualquer arquivo no sistema, explorando a falta de validação adequada das entradas na interface web gradio. Versões afetadas incluem todas as versões anteriores ou iguais à versão mais recente. A correção envolve a atualização para uma versão corrigida ou a implementação de medidas de mitigação.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos confidenciais armazenados no sistema. Isso pode incluir informações sensíveis como chaves de API, senhas, dados de configuração e código-fonte. O atacante pode, potencialmente, ler arquivos de sistema, comprometendo a integridade e a confidencialidade dos dados. Em cenários mais graves, a inclusão de arquivos maliciosos pode levar à execução remota de código, permitindo o controle total do sistema. A falta de validação de entrada na interface gradio facilita a exploração, tornando a vulnerabilidade particularmente perigosa.
A vulnerabilidade foi divulgada em 2025-03-20. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog). A probabilidade de exploração é considerada média, devido à natureza da vulnerabilidade LFI e à facilidade de exploração. A ausência de um Proof of Concept (PoC) público não diminui a importância de mitigar a vulnerabilidade.
Users deploying LLaVA for research or experimentation, particularly those using the gradio web UI for interactive demonstrations, are at risk. Shared hosting environments where LLaVA is deployed alongside other applications are also vulnerable, as a successful exploit could potentially compromise the entire host.
• python / server:
import os
import requests
# Target URL
url = "http://your-llava-server/gradio_app"
# Attempt to read a sensitive file
file_to_read = "/etc/passwd"
# Craft the request
params = {'file': file_to_read}
# Send the request
response = requests.get(url, params=params)
# Check the response
if response.status_code == 200:
print(f"File content: {response.text}")
else:
print(f"Request failed with status code: {response.status_code}")• linux / server:
# Monitor access logs for suspicious file requests
grep -i "/etc/passwd" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o projeto llava para uma versão corrigida, assim que disponível. Enquanto a atualização não for possível, implemente medidas de segurança adicionais. Restrinja o acesso à interface web gradio, permitindo apenas conexões de fontes confiáveis. Implemente validação rigorosa de todas as entradas do usuário, garantindo que apenas arquivos autorizados sejam acessados. Monitore os logs do sistema em busca de atividades suspeitas, como tentativas de acesso a arquivos não autorizados. Considere o uso de um Web Application Firewall (WAF) para bloquear requisições maliciosas.
Actualice la biblioteca haotian-liu/llava a la última versión disponible. Esto debería incluir la corrección para la vulnerabilidad de inclusión de archivos locales. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-12065 ha sido abordada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-12065 is a vulnerability in LLaVA allowing attackers to read arbitrary files via crafted requests to the gradio web UI. It has a CVSS score of 7.5 (HIGH).
If you are using LLaVA versions up to the latest release and have the gradio web UI enabled, you are potentially affected by this vulnerability.
Upgrade to a patched version of LLaVA as soon as it becomes available. Until then, restrict file access and implement stricter input validation.
As of 2025-03-20, there are no known public exploits or active campaigns targeting this vulnerability, but it should be monitored closely.
Refer to the LLaVA project's official website and GitHub repository for updates and security advisories related to CVE-2024-12065.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.