找回密码
 注册创意安天

漏洞风险提示(20240613)

[复制链接]
发表于 2024-6-13 09:12 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Lunary 访问控制不当漏洞(CVE-2024-3504)
一、漏洞描述:     
        Lunary.jpg
        Lunary是lunary开源的一个 LLM 的生产工具包。Lunary存在安全漏洞,该漏洞源于存在访问控制不当漏洞,管理员可以将任何组织用户更新为组织所有者。
二、风险等级:
        高危
三、影响范围:
        Lunary
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/lunary-ai/lun ... b8da37c44f76542901f


2 Pytorch-Lightning 远程代码执行漏洞(CVE-2024-5452)
一、漏洞描述:     
        Pytorch-Lightning.jpg
        Pytorch-Lightning是一个开源轻量级 PyTorch 包装器。用于高性能 Ai 研究。Pytorch-Lightning 2.2.1版本存在安全漏洞,该漏洞源于对反序列化用户输入的处理不当和对dunder属性的管理不善,导致受到远程代码执行(RCE)攻击。
二、风险等级:
        高危
三、影响范围:
        Pytorch-Lightning 2.2.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Lightning-AI/ ... /releases/tag/2.2.5


3 LoLLMs 路径遍历漏洞 (CVE-2024-2362)
一、漏洞描述:     
        LoLLMs.jpg
        LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。LoLLMs 存在安全漏洞,该漏洞源于应用程序中存在路径遍历漏洞。
二、风险等级:
        高危
三、影响范围:
        LoLLMs
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/parisneo/lollms-webui


4 AnythingLLM 输入验证错误漏洞(CVE-2024-3150)
一、漏洞描述:     
        AnythingLLM.jpg
        AnythingLLM是符合业务要求的文档聊天机器人。AnythingLLM 存在输入验证错误漏洞,该漏洞源于应用程序在将用户输入传递给 Prisma 模型执行之前未能验证或检查用户输入。
二、风险等级:
        高危
三、影响范围:
        AnythingLLM
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/mintplex-labs ... 7903d510e5a208b0afc
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-26 18:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表