PT-2024-33304 · Unknown · Parisneo/Lollms-Webui+1
Publicado
2024-07-02
·
Atualizado
2024-07-02
·
CVE-2024-4897
CVSS v3.1
8.4
Alta
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
parisneo/lollms-webui (versões afetadas não especificadas)
Descrição
O problema decorre de uma dependência insegura do
llama cpp python versão llama cpp python-0.2.61+cpuavx2-cp311-cp311-manylinux 2 31 x86 64. A vulnerabilidade está relacionada ao recurso ‘binding zoo’ do aplicativo, que permite que invasores enviem e interajam com um arquivo de modelo malicioso hospedado no hugging-face, levando à execução remota de código. Isso ocorre durante o processamento de arquivos de modelo no formato gguf.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Llama Cpp Python
Parisneo/Lollms-Webui