CVE-2024-32878 in llama.cppinformación

Resumen

por MITRE • 2024-04-27

Llama.cpp es una inferencia LLM en C/C++. Hay un uso de vulnerabilidad de variable de montón no inicializada en gguf_init_from_file, el código liberará esta variable no inicializada más adelante. En una POC simple, provocará directamente un bloqueo. Si el archivo se construye cuidadosamente, es posible controlar este valor no inicializado y causar problemas sin direcciones arbitrarias. Esto puede llevar aún más a ser explotado. Provoca que llama.cpp falle (DoS) e incluso puede provocar la ejecución de código arbitrario (RCE). Esta vulnerabilidad ha sido parcheada en el commit b2740.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub, Inc.

Reservar

2024-04-19

Divulgación

2024-04-27

Moderación

aceptado

Artículo

VDB-262203

CPE

listo

EPSS

0.00696

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!