CVE-2024-12070

Nome do Software Vulnerável e Versões Afetadas haotian-liu/llava versão 1.2.0

Descrição Existe uma vulnerabilidade de Negação de Serviço (DoS) no recurso de upload de arquivos devido ao tratamento inadequado de form-data com um nome de arquivo grande na solicitação de upload. Ao enviar um payload com um nome de arquivo excessivamente grande, o servidor fica sobrecarregado e não responde, levando à indisponibilidade para usuários legítimos. Esta vulnerabilidade pode ser explorada sem autenticação.

Recomendações Para a versão 1.2.0, considere restringir o acesso ao recurso de upload de arquivos até que um patch esteja disponível para prevenir a exploração. Como medida temporária, limite o tamanho dos nomes de arquivos que podem ser enviados para evitar que o servidor fique sobrecarregado.