一、 漏洞 CVE-2024-6095 基础信息
漏洞标题
在mudler/localai的/models/apply 端点中存在SSRF和部分LFI(服务器端请求伪造和部分本地文件包含)漏洞。
来源:AIGC 神龙大模型
漏洞描述信息
mudler/localai版本2.15.0中的/models/apply端点存在漏洞,允许进行服务器端请求伪造(SSRF)和局部文件包含(LFI)的部分操作。该端点支持http(s)://和file://两种方案,其中file://方案可能会导致局部文件包含。然而,由于错误消息长度的限制,输出受到了限制。此漏洞允许具有本地AI实例网络访问权限的攻击者可能未经授权访问内部HTTP(s)服务器并读取部分本地文件。该问题在版本2.17中得到了修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
服务端请求伪造(SSRF)
来源:AIGC 神龙大模型
漏洞标题
SSRF and Partial LFI in /models/apply Endpoint in mudler/localai
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the /models/apply endpoint of mudler/localai versions 2.15.0 allows for Server-Side Request Forgery (SSRF) and partial Local File Inclusion (LFI). The endpoint supports both http(s):// and file:// schemes, where the latter can lead to LFI. However, the output is limited due to the length of the error message. This vulnerability can be exploited by an attacker with network access to the LocalAI instance, potentially allowing unauthorized access to internal HTTP(s) servers and partial reading of local files. The issue is fixed in version 2.17.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
LocalAI 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LocalAI是Ettore Di Giacinto个人开发者的一个免费的、开源的 OpenAI 替代方案。 LocalAI 2.15.0 版本存在代码问题漏洞,该漏洞源于 /models/apply API 存在跨站请求伪造和本地文件包含漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-6095 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/Abdurahmon3236/-CVE-2024-6095 POC详情
三、漏洞 CVE-2024-6095 的情报信息