Foi divulgada uma falha de segurança crítica no pacote Python llama_cpp_python que pode ser explorada por agentes de ameaças para obter a execução arbitrária de código.
Registada como CVE-2024-34359 (pontuação CVSS: 9.7), a falha tem o nome de código Llama Drama pela empresa de segurança da cadeia de fornecimento de software Checkmarx.
“Se for explorada, pode permitir que os atacantes executem código arbitrário no seu sistema, comprometendo dados e operações”, disse o investigador de segurança Guy Nachshon.
llama_cpp_python, uma ligação Python para a biblioteca llama.cpp, é um pacote popular com mais de 3 milhões de downloads até à data, permitindo aos programadores integrar modelos de IA com Python.
O pesquisador de segurança Patrick Peng (retr0reg) foi creditado por descobrir e relatar a falha, que foi resolvida na versão 0.2.72.
O problema principal decorre do uso indevido do mecanismo de modelo Jinja2 dentro do pacote llama_cpp_python, permitindo a injeção de modelo do lado do servidor que leva à execução remota de código por meio de uma carga útil especialmente criada.
“A exploração desta vulnerabilidade pode levar a acções não autorizadas por parte dos atacantes, incluindo o roubo de dados, o comprometimento do sistema e a interrupção das operações”, afirmou a Checkmarx.
“A descoberta do CVE-2024-34359 serve como um forte lembrete das vulnerabilidades que podem surgir na confluência da IA e da segurança da cadeia de suprimentos. Ele destaca a necessidade de práticas de segurança vigilantes em todo o ciclo de vida dos sistemas de IA e seus componentes.
Falha de execução de código em PDF.js#
O desenvolvimento segue a descoberta de uma falha de alta gravidade na biblioteca JavaScript PDF.js da Mozilla (CVE-2024-4367) que poderia permitir a execução de código arbitrário.
“Faltava uma verificação de tipo ao lidar com fontes no PDF.js, o que permitiria a execução arbitrária de JavaScript no contexto do PDF.js”, disse a Mozilla em um comunicado.
O Codean Labs, que caracterizou a falha como um “descuido em uma parte específica do código de renderização de fontes”, disse que ela permite que um invasor execute código JavaScript assim que um documento PDF com malware é aberto no navegador Firefox.
O problema foi resolvido no Firefox 126, Firefox ESR 115.11 e Thunderbird 115.11, lançados na semana passada. Também foi resolvido no módulo npm pdfjs-dist versão 4.2.67 lançado em 29 de abril de 2024.
“A maioria das bibliotecas de wrapper, como react-pdf, também lançou versões corrigidas”, disse o pesquisador de segurança Thomas Rinsma. “Como algumas bibliotecas relacionadas a PDF de nível superior incorporam estaticamente o PDF.js, recomendamos verificar recursivamente sua pasta node_modules em busca de arquivos chamados pdf.js para ter certeza.”
Fonte: https://thehackernews.com/2024/05/researchers-uncover-flaws-in-python.html
Comentários