聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Huntr 漏洞奖励计划报送。其中最严重的是影响大语言模型生产工具包 Lunary的两个漏洞:
CVE-2024-7474(CVSS评分9.1):不安全的直接对象引用漏洞,可导致认证攻击者查看或删除外部用户,导致未授权数据访问和潜在的数据丢失。
CVE-2024-7475(CVSS评分9.1):该访问控制不当漏洞可导致攻击者更新 SAML 配置,从而以越权用户身份登录并访问敏感信息。
Lunary 中还存在另外一个IDOR 漏洞(CVE-2024-7473,CVSS评分7.5),可导致恶意人员通过操纵受用户控制的参数更新其它用户的提示符。
Protect AI 公司在一份安全公告中提到,“攻击者以用户A的身份登录并拦截该请求以更新提示符。通过将该请求中的参数’id’修改为属于用户B的提示符的’id’,攻击者可在未授权的情况下更新用户B的提示符。”
第三个严重漏洞是位于 ChuanhuChatGPT 用户上传特性中的路径遍历漏洞(CVE-2024-5982,CVSS评分9.1),可导致任意代码执行、目录创建和敏感数据暴露后果。
供用户运行自托管LLMs 的开源项目LocalAI中也存在两个漏洞,可导致恶意人员通过上传恶意配置文件执行任意代码(CVE-2024-6983,CVSS评分8.8)以及通过分析服务器的响应时间猜测合法的API密钥(CVE-2024-7010,CVSS评分7.5)。
Protect AI 公司表示,“该漏洞可使攻击者执行定时攻击。它是一种侧信道攻击,通过了解不同API密钥处理请求所需的时间,攻击者一次一个地推断正确的API密钥。”
最后一个漏洞是影响 Deep Java Library (DJL) 的源自任意文件覆写的远程代码执行漏洞,位于该程序包的untar函数 (CVE-2024-8396,CVSS评分7.8)中。
此前不久,英伟达修复了位于 NeMo 生成式AI 框架中的一个路径遍历漏洞(CVE-2024-0129,CVSS评分6.3),可能导致代码执行和数据篡改后果。建议用户更新至最新版本,保护AI/ML供应链安全,以防遭攻击。
https://thehackernews.com/2024/10/researchers-uncover-vulnerabilities-in.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh