CVE-2024-32878 in llama.cpp
Resumen
por MITRE • 2024-04-27
Llama.cpp es una inferencia LLM en C/C++. Hay un uso de vulnerabilidad de variable de montón no inicializada en gguf_init_from_file, el código liberará esta variable no inicializada más adelante. En una POC simple, provocará directamente un bloqueo. Si el archivo se construye cuidadosamente, es posible controlar este valor no inicializado y causar problemas sin direcciones arbitrarias. Esto puede llevar aún más a ser explotado. Provoca que llama.cpp falle (DoS) e incluso puede provocar la ejecución de código arbitrario (RCE). Esta vulnerabilidad ha sido parcheada en el commit b2740.
VulDB is the best source for vulnerability data and more expert information about this specific topic.