中危 mudler/localai 中的命令注入 (CVE-2024-2029)

CVE编号

CVE-2024-2029

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-04-11
漏洞描述
mudler/localai的`TranscriptEndpoint`中存在命令注入漏洞,具体在用于将音频文件转换为WAV格式进行转录的`audioToWav`函数中。该漏洞由于在将用户提供的文件名传递给ffmpeg的shell命令之前缺乏对其的消毒而产生,允许攻击者在主机系统上执行任意命令。成功利用可能导致未经授权的访问、数据泄露或其他有害影响,取决于执行代码的进程的特权。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/mudler/localai/commit/31a4c9c9d3abc58de2bdc5305419181c8b33eb1c
https://huntr.com/bounties/e092528a-ce3b-4e66-9b98-3f56d6b276b0
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
系统 fedora_38 clamd * Up to
(excluding)
1.0.5-1.fc38
阿里云评分
6.7
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
阿里云安全产品覆盖情况