漏洞风险提示（20240613)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Lunary 访问控制不当漏洞（CVE-2024-3504）
一、漏洞描述：     
       
        Lunary是lunary开源的一个 LLM 的生产工具包。Lunary存在安全漏洞，该漏洞源于存在访问控制不当漏洞，管理员可以将任何组织用户更新为组织所有者。
二、风险等级：
        高危
三、影响范围：
        Lunary
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/lunary-ai/lun ... b8da37c44f76542901f

---

2 Pytorch-Lightning 远程代码执行漏洞（CVE-2024-5452）
一、漏洞描述：     
       
        Pytorch-Lightning是一个开源轻量级 PyTorch 包装器。用于高性能 Ai 研究。Pytorch-Lightning 2.2.1版本存在安全漏洞，该漏洞源于对反序列化用户输入的处理不当和对dunder属性的管理不善，导致受到远程代码执行(RCE)攻击。
二、风险等级：
        高危
三、影响范围：
        Pytorch-Lightning 2.2.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Lightning-AI/ ... /releases/tag/2.2.5

---

3 LoLLMs 路径遍历漏洞 （CVE-2024-2362）
一、漏洞描述：     
       
        LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。LoLLMs 存在安全漏洞，该漏洞源于应用程序中存在路径遍历漏洞。
二、风险等级：
        高危
三、影响范围：
        LoLLMs
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/parisneo/lollms-webui

---

4 AnythingLLM 输入验证错误漏洞（CVE-2024-3150）
一、漏洞描述：     
       
        AnythingLLM是符合业务要求的文档聊天机器人。AnythingLLM 存在输入验证错误漏洞，该漏洞源于应用程序在将用户输入传递给 Prisma 模型执行之前未能验证或检查用户输入。
二、风险等级：
        高危
三、影响范围：
        AnythingLLM
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/mintplex-labs ... 7903d510e5a208b0afc