abetlen llama-cpp-python até 0.2.71 llama.py to_chat_handler Execução remota de código

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
7.9$0-$5k0.00

Sumárioinformação

Foi identificada uma vulnerabilidade classificada como crítico em abetlen llama-cpp-python até 0.2.71. A função afetada é to_chat_handler do arquivo llama.py. A manipulação com uma entrada desconhecida leva a Execução remota de código. Esta vulnerabilidade está registrada como CVE-2024-34359. É possível lançar o ataque remotamente. Nenhum exploit está disponível.

Detalhesinformação

Foi identificada uma vulnerabilidade classificada como crítico em abetlen llama-cpp-python até 0.2.71. A função afetada é to_chat_handler do arquivo llama.py. A manipulação com uma entrada desconhecida leva a Execução remota de código. Usar CWE para declarar o problema leva a CWE-76. A fraqueza foi publicada. O boletim está compartilhado para download em github.com.

Esta vulnerabilidade está registrada como CVE-2024-34359. O CVE foi atribuído em 02/05/2024. É possível lançar o ataque remotamente. Os detalhes técnicos podem ser consultados. Esta vulnerabilidade tem popularidade abaixo da média. Nenhum exploit está disponível. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento.

É declarado como não definido.

Produtoinformação

Tipo

Fabricante

Nome

Versão

Site

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 7.9
VulDB Meta Pontuação Temporária: 7.9

VulDB Pontuação Base: 6.3
VulDB Pontuação Temporária: 6.3
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA Pontuação Base: 9.6
CNA Vetor: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Execução remota de código
CWE: CWE-76 / CWE-707 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Não definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔍

Linha do tempoinformação

02/05/2024 🔍
10/05/2024 +8 dias 🔍
10/05/2024 +0 dias 🔍
30/03/2025 +324 dias 🔍

Fontesinformação

Produto: github.com

Aconselhamento: github.com
Estado: Confirmado

CVE: CVE-2024-34359 (🔍)
GCVE (CVE): GCVE-0-2024-34359
GCVE (VulDB): GCVE-100-263867

Entradainformação

Criado: 10/05/2024 20h42
Atualizado: 30/03/2025 23h13
Ajustamentos: 10/05/2024 20h42 (62), 30/03/2025 23h13 (3)
Completo: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Discussão

 Anonymous User (+0)
há 2 anos
Good morning.
As this vulnerability allows attackers to execute arbitrary code resulting from improper use of the Jinja2 template engine.
Over 6,000 HuggingFace AI models using llama_cpp_python and Jinja2 are vulnerable.
For this reason you could add the following cpe:
jinja2:jinja2
Pocoo:jinja2
We would appreciate it very much.
Best Regards,
TEAM CERT
 VulDB Community Teamhá 2 anos
At the moment it is unclear what kind of dependencies are given. We have to remain to assign the core product only for now. Thank you for your understanding.

VoltarVisão GeralPróximo

Do you want to use VulDB in your project?

Use the official API to access entries easily!