mudler/LocalAI 中的 CSRF 漏洞(CVE-2024-5616)
CVE编号
CVE-2024-5616利用情况
暂无补丁情况
N/A披露时间
2024-07-06漏洞描述
Mudler/LocalAI版本至多包括2.15.0存在一个跨站请求伪造(CSRF)漏洞,攻击者可利用此漏洞诱骗受害者删除已安装的模型。通过制作一个恶意HTML页面,攻击者可以在未经受害者同意的情况下导致模型被删除,例如删除“gpt-4-vision-preview”模型。该漏洞是由于模型删除功能中的CSRF保护机制不足导致的。解决建议
"将组件 mudler/localai 升级至 2.17 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/mudler/localai/commit/4e1463fec291612a59a16db60b3fd12d4c49d64b | |
| https://huntr.com/bounties/fd753fb6-ba04-4dd8-abef-918fb97120af |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 需要
- 可用性 低
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论