LLama Factory Remote OS Command Injection Vulnerability 漏洞信息(CVE-2024-52803)

一、漏洞 CVE-2024-52803 基础信息

漏洞标题

远程操作系统命令注入漏洞 - LLama Factory弱点

来源：AIGC 神龙大模型

漏洞描述信息

LLama Factory 允许对大型语言模型进行微调。在 LLama Factory 训练过程中发现了一个关键的远程操作系统命令注入漏洞。该漏洞源于对用户输入处理不当，允许恶意用户在宿主机系统上执行任意操作系统命令。该问题是由使用 `Popen` 函数时设置 `shell=True` 并且未对用户输入进行验证所导致的。需要立即采取补救措施以降低风险。此漏洞已在 0.9.1 版本中得到修复。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

OS命令中使用的特殊元素转义处理不恰当(OS命令注入)

来源：AIGC 神龙大模型

漏洞标题

LLama Factory Remote OS Command Injection Vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

LLama Factory enables fine-tuning of large language models. A critical remote OS command injection vulnerability has been identified in the LLama Factory training process. This vulnerability arises from improper handling of user input, allowing malicious actors to execute arbitrary OS commands on the host system. The issue is caused by insecure usage of the `Popen` function with `shell=True`, coupled with unsanitized user input. Immediate remediation is required to mitigate the risk. This vulnerability is fixed in 0.9.1.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

LLaMA-Factory 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

LLaMA-Factory是中国hoshi-hiyouga个人开发者的一个微调大型语言模型。 LLaMA-Factory 0.9.0及之前版本存在跨站脚本漏洞，该漏洞源于对用户输入的不当处理，允许恶意行为者在主机系统上执行任意操作系统命令，从而导致容易受到远程操作系统命令注入攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-52803 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-52803 的情报信息

标题： Proof of Concept for LLama Factory Remote OS Command Injection Vulnerability · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
标题： Llama Factory Remote OS Command Injection Vulnerability · Advisory · hiyouga/LLaMA-Factory · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
神龙速读
标题： Merge commit from fork · hiyouga/LLaMA-Factory@b3aa80d · GitHub -- 🔗来源链接

标签： x_refsource_MISC
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2024-52803

一、 漏洞 CVE-2024-52803 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-52803 的公开POC

三、漏洞 CVE-2024-52803 的情报信息

一、漏洞 CVE-2024-52803 基础信息