CVE-2024-42479 (CVSS 10)知名Python 包 llama_cpp_python 存在严重漏洞

admin 2024年8月15日22:48:14评论80 views字数 909阅读3分1秒阅读模式

CVE-2024-42479 (CVSS 10)知名Python 包 llama_cpp_python 存在严重漏洞

在广泛使用的 AI 库 llama_cpp_python 中发现了一个严重的安全漏洞,可能允许威胁行为者在受影响的系统上远程执行恶意代码。该漏洞的编号为CVE-2024-42479,CVSS 评分为10,表明其对网络安全有重大影响。

该漏洞源于函数中的“写入任意内容”条件rpc_server::set_tensor。该条件源于结构内数据指针的不安全处理rpc_tensor,可能使攻击者能够将数据写入任意内存位置。此类漏洞可作为各种漏洞利用的基础,包括导致远程代码执行的漏洞利用。

llama_cpp_python 是 llama.cpp 库的 Python 绑定,下载量超过 300 万次,是开发人员将 AI 模型与 Python 应用程序集成的热门工具。这种广泛采用大大扩大了此漏洞的潜在影响范围,使数百万用户面临风险。

该漏洞由 360 漏洞研究院的安全研究员 7resp4ss 发现,并提供了详细的 PoC 漏洞利用代码,证明了该漏洞的严重性。通过将 CVE-2024-42479 与另一个允许任意地址读取的漏洞相结合,该研究员成功实现了 RCE,凸显了该漏洞对受影响系统的严重影响。

CVE-2024-42479 (CVSS 10)知名Python 包 llama_cpp_python 存在严重漏洞

概念验证漏洞已发布,并附有技术细节,让安全专家能够了解攻击机制。此外,还发布了一段演示视频,展示了利用此漏洞的简易程度。

该漏洞已在llama_cpp_python软件包的b3561版本中得到修补。强烈建议用户立即更新其安装以降低被利用的风险。否则,系统可能容易受到攻击,从而导致未经授权的访问、数据泄露,甚至可能导致整个系统被入侵。

考虑到该软件包的广泛使用和漏洞的严重性,在其 AI 和机器学习项目中利用llama_cpp_python的组织应该优先考虑此更新。

新版本已修复:

https://github.com/ggerganov/llama.cpp/releases

PoC:

https://github.com/ggerganov/llama.cpp/security/advisories/GHSA-wcr5-566p-9cwj

原文始发于微信公众号(独眼情报):【PoC】CVE-2024-42479 (CVSS 10)知名Python 包 llama_cpp_python 存在严重漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月15日22:48:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-42479 (CVSS 10)知名Python 包 llama_cpp_python 存在严重漏洞https://cn-sec.com/archives/3069085.html

发表评论

匿名网友 填写信息