Tylzh97

#15597de 53,635
17.3CVSS total
Vulnerabilidades · 2
Alta
1
Crítica
1
PT-2026-2109
9.8
2026-01-07
Llama.Cpp · Llama.Cpp · CVE-2026-21869
**Nome do Software Vulnerável e Versões Afetadas** llama.cpp versões anteriores ao commit 55d4206c9 **Descrição** O llama.cpp é um mecanismo de inferência para vários Modelos de Linguagem de Grande Porte (LLMs) implementado em C/C++. O software analisa o parâmetro `n discard` diretamente da entrada JSON em seus endpoints de conclusão sem validar se ele é não negativo. Fornecer um valor negativo para este parâmetro, quando o contexto está cheio, pode levar a escritas de memória fora dos limites dentro da função `llama memory seq rm/add` durante o loop de avaliação de tokens. Esta corrupção de memória pode resultar em uma falha do processo ou, potencialmente, permitir a execução remota de código (RCE). O componente vulnerável é a análise do parâmetro `n discard` nos **endpoints de API** de conclusão. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
PT-2025-47374
7.5
2025-11-18
Cbor2 · Cbor2 · CVE-2025-64076
**Name of the Vulnerable Software and Affected Versions** cbor2 versions through 5.7.0 **Description** The cbor2 software contains issues in the `decode definite long string()` function within the C extension decoder (source/decoder.c). An integer underflow can lead to an out-of-bounds read, and a memory leak occurs due to missing reference count release. The integer underflow happens because of an incorrect variable reference and a missing state reset, causing negative values in chunk length calculations. The memory leak arises from failing to release Python object references for chunk objects in each iteration of the processing loop. These issues can be exploited remotely without authentication by sending specially crafted CBOR data containing definite-length text strings with multi-byte UTF-8 characters. Successful exploitation can lead to denial of service through process crashes or memory exhaustion. **Recommendations** Update to version 5.7.1 or later.