mudler/localai 中的命令注入(CVE-2024-5181)
CVE编号
CVE-2024-5181利用情况
暂无补丁情况
N/A披露时间
2024-06-26漏洞描述
mudler/localai版本2.14.0存在一个命令注入漏洞。该漏洞源于应用程序处理配置文件中的后端参数的方式,该参数用于初始化进程的名称。攻击者可以通过操纵后端参数中指定的易受攻击的二进制文件的路径来利用此漏洞,从而在系统上执行任意代码。这个问题是由于操作系统命令中使用的特殊元素没有得到适当的处理,可能导致对受影响系统的完全控制。解决建议
"将组件 mudler/localai 升级至 2.16.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/mudler/localai/commit/1a3dedece06cab1acc3332055d285ac540a47f0e | |
| https://huntr.com/bounties/c6e3cb58-6fa4-4207-bb92-ae7644174661 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-78 | OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论