漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
漏洞
LMDeploy Vulnerable to Server-Side Request Forgery (SSRF) via Vision-Language Image Loading
漏洞信息
LMDeploy is a toolkit for compressing, deploying, and serving large language models. Versions prior to 0.12.3 have a Server-Side Request Forgery (SSRF) vulnerability in LMDeploy's vision-language module. The `load_image()` function in `lmdeploy/vl/utils.py` fetches arbitrary URLs without validating internal/private IP addresses, allowing attackers to access cloud metadata services, internal networks, and sensitive resources. Version 0.12.3 patches the issue.
漏洞信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞
服务端请求伪造(SSRF)
漏洞
lmdeploy 安全漏洞
漏洞信息
lmdeploy是InternLM开源的一个用于压缩、部署和服务 LLM 的工具包。 LMDeploy 0.12.3之前版本存在安全漏洞,该漏洞源于vision-language模块中load_image函数未验证URL,可能导致服务端请求伪造攻击。
漏洞信息
N/A
漏洞
N/A