CVE-2024-9311

Nome do Software Vulnerável e Versões Afetadas haotian-liu/llava versão 1.2.0

Descrição Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) permite que um atacante faça upload de arquivos com conteúdo malicioso sem autenticação ou interação do usuário. O arquivo enviado é armazenado em um caminho previsível, permitindo que o atacante execute código JavaScript arbitrário no contexto do navegador da vítima ao visitar a URL do arquivo manipulado. Isso pode levar ao roubo de informações sensíveis, sequestro de sessão ou outras ações que comprometem a segurança e a privacidade da vítima.

Recomendações Para o haotian-liu/llava versão 1.2.0, considere desativar a funcionalidade de upload de arquivos até que uma correção esteja disponível para prevenir a exploração desta vulnerabilidade. Restrinja o acesso aos caminhos previsíveis onde os arquivos enviados são armazenados para minimizar o risco de execução de código JavaScript arbitrário. Evite usar a aplicação até que uma versão corrigida seja lançada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.