mudler/localai 中的 /models/apply Endpoint 中的 SSRF 和部分 LFI(CVE-2024-6095)
CVE编号
CVE-2024-6095利用情况
暂无补丁情况
N/A披露时间
2024-07-07漏洞描述
在mudler/localai版本2.15.0中的/models/apply端点存在一个漏洞,允许服务器端的请求伪造(SSRF)和部分本地文件包含(LFI)。该端点支持http(s)://和file://两种协议,后者可能导致LFI。然而,由于错误消息的长度限制,输出受到限制。攻击者可以利用此漏洞对网络访问LocalAI实例,从而可能实现对内部HTTP(S)服务器的未经授权访问和部分本地文件的读取。该问题已在版本2.17中得到修复。解决建议
"将组件 mudler/localai 升级至 2.17 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/mudler/localai/commit/2fc6fe806b903ac0a70218b21b5c84443a1b0866 | |
| https://huntr.com/bounties/4799262d-72dc-43c8-bc99-81d0dce996dc |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 无
- 可用性 无
- 保密性 低
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-918 | 服务端请求伪造(SSRF) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论