CVE-2024-12065描述了haotian-liu/llava项目中的一个本地文件包含(LFI)漏洞。该漏洞允许攻击者通过发送恶意请求访问系统上的任意文件,严重威胁数据安全。该漏洞影响所有版本(≤最新),建议尽快更新到最新版本以修复此问题。
攻击者利用此LFI漏洞可以读取系统上的任何文件,包括敏感配置信息、密钥、源代码等。这可能导致信息泄露、权限提升,甚至远程代码执行。攻击者可以利用此漏洞获取数据库凭据,从而访问数据库中的敏感数据。如果LLaVA与其它系统集成,攻击者可能通过此漏洞进行横向移动,进一步扩大攻击范围。此漏洞的潜在影响范围取决于系统配置和数据敏感性。
目前,该漏洞尚未被广泛利用,但由于其易于利用,存在被攻击者的利用的可能性。该漏洞已于2025年3月20日公开披露。尚未发现公开的PoC,但攻击者可以根据漏洞描述自行编写PoC。建议密切关注安全社区的动态,及时采取应对措施。
Users deploying LLaVA for research or experimentation, particularly those using the gradio web UI for interactive demonstrations, are at risk. Shared hosting environments where LLaVA is deployed alongside other applications are also vulnerable, as a successful exploit could potentially compromise the entire host.
• python / server:
import os
import requests
# Target URL
url = "http://your-llava-server/gradio_app"
# Attempt to read a sensitive file
file_to_read = "/etc/passwd"
# Craft the request
params = {'file': file_to_read}
# Send the request
response = requests.get(url, params=params)
# Check the response
if response.status_code == 200:
print(f"File content: {response.text}")
else:
print(f"Request failed with status code: {response.status_code}")• linux / server:
# Monitor access logs for suspicious file requests
grep -i "/etc/passwd" /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.14% (34% 百分位)
CISA SSVC
CVSS 向量
目前,官方尚未发布具体的修复版本。作为临时缓解措施,建议对LLaVA的输入进行严格的验证和过滤,确保用户提供的输入不包含恶意路径。可以考虑使用Web应用防火墙(WAF)来阻止恶意请求。此外,应限制LLaVA的访问权限,只允许其访问必要的文件和目录。在升级到修复版本后,请确认输入验证机制是否有效,并检查系统日志是否存在异常活动。
Actualice la biblioteca haotian-liu/llava a la última versión disponible. Esto debería incluir la corrección para la vulnerabilidad de inclusión de archivos locales. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-12065 ha sido abordada.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-12065描述了LLaVA项目中的一个本地文件包含漏洞,攻击者可以通过发送恶意请求访问系统上的任意文件。
如果您的系统运行LLaVA,并且尚未更新到最新版本,则可能受到影响。所有版本(≤最新)都受到影响。
建议尽快更新到最新版本,并加强输入验证和访问控制配置。
目前尚未发现大规模利用,但由于漏洞易于利用,存在被攻击者的利用的可能性。
请关注LLaVA项目的官方GitHub仓库和相关安全公告。
上传你的 requirements.txt 文件,立即知道是否受影响。