Arbitrary File Write in mudler/LocalAI 漏洞信息(CVE-2024-6868)

一、漏洞 CVE-2024-6868 基础信息

漏洞标题

mudler/LocalAI存在任意文件写入漏洞

来源：AIGC 神龙大模型

漏洞描述信息

mudler/LocalAI 版本 2.17.1 存在任意文件写入漏洞，原因是自动处理压缩包提取时存在不当操作。当模型配置指定附加文件为压缩包（如 .tar）时，这些压缩包在下载后会被自动提取。此行为可被利用来进行“tarslip”攻击，允许将文件写入服务器上的任意位置，绕过通常限制文件只能写入模型目录的检查。此漏洞可能导致远程代码执行（RCE），通过覆盖服务器使用的后端资源实现。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：AIGC 神龙大模型

漏洞标题

Arbitrary File Write in mudler/LocalAI

来源：美国国家漏洞数据库 NVD

漏洞描述信息

mudler/LocalAI version 2.17.1 allows for arbitrary file write due to improper handling of automatic archive extraction. When model configurations specify additional files as archives (e.g., .tar), these archives are automatically extracted after downloading. This behavior can be exploited to perform a 'tarslip' attack, allowing files to be written to arbitrary locations on the server, bypassing checks that normally restrict files to the models directory. This vulnerability can lead to remote code execution (RCE) by overwriting backend assets used by the server.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

输入验证不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

LocalAI 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

LocalAI是Ettore Di Giacinto个人开发者的一个免费的、开源的 OpenAI 替代方案。 LocalAI 2.17.1版本存在安全漏洞，该漏洞源于对自动存档提取处理不当，允许任意文件写入，可能导致远程代码执行(RCE)。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-6868 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-6868 的情报信息

标题： huntr - The world’s first bug bounty platform for AI/ML -- 🔗来源链接

标签：
标题： refactor: gallery inconsistencies (#2647) · mudler/LocalAI@a181dd0 · GitHub -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2024-6868

一、 漏洞 CVE-2024-6868 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-6868 的公开POC

三、漏洞 CVE-2024-6868 的情报信息

一、漏洞 CVE-2024-6868 基础信息