mudler/LocalAI 中的 CSRF 漏洞(CVE-2024-5616)

admin 2024-07-09 07:56:53 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
mudler/LocalAI 中的 CSRF 漏洞(CVE-2024-5616)

CVE编号

CVE-2024-5616

利用情况

暂无

补丁情况

N/A

披露时间

2024-07-06
漏洞描述
Mudler/LocalAI版本至多包括2.15.0存在一个跨站请求伪造(CSRF)漏洞,攻击者可利用此漏洞诱骗受害者删除已安装的模型。通过制作一个恶意HTML页面,攻击者可以在未经受害者同意的情况下导致模型被删除,例如删除“gpt-4-vision-preview”模型。该漏洞是由于模型删除功能中的CSRF保护机制不足导致的。
解决建议
"将组件 mudler/localai 升级至 2.17 及以上版本"
参考链接
https://github.com/mudler/localai/commit/4e1463fec291612a59a16db60b3fd12d4c49d64b
https://huntr.com/bounties/fd753fb6-ba04-4dd8-abef-918fb97120af
CVSS3评分 4.3
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 无
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 低
  • 保密性 无
  • 完整性 无
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-21741利用情况 暂无补丁情况 N/A披露时间 2024-06-26漏洞描述GigaDevice GD32E103C8
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-34400利用情况 暂无补丁情况 N/A披露时间 2024-06-26漏洞描述An issue was discover
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-35526利用情况 暂无补丁情况 N/A披露时间 2024-06-26漏洞描述An issue in Daemon PT
评论:0   参与:  0