ГлавнаяБаза уязвимостей БДУ → BDU:2025-13229
8высокая

BDU:2025-13229

Уязвимость функции _process_request() библиотеки для работы с большими языковыми моделями (LLM) LLaMA-Factory, позволяющая нарушителю обойти ограничения безопасности и осуществить SSRF-атаку
Опубликовано: 2025-10-22
Описание

Уязвимость функции _process_request() библиотеки для работы с большими языковыми моделями (LLM) LLaMA-Factory связана c подделкой запросов на стороне сервера при обработке конечной точки /v1/chat/completions endpoint. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и осуществить SSRF-атаку

Затрагиваемое ПО и версии
LLaMA-Factory (до 0.9.3 включительно)
Способ устранения

Использование рекомендаций производителя:
https://github.com/hiyouga/LLaMA-Factory/commit/95b7188090a1018935c9dc072bfc97f24f1c96e9

Оценка CVSS
Балл8 — высокая опасность
Источники и патчи
https://github.com/hiyouga/LLaMA-Factory/commit/95b7188090a1018935c9dc072bfc97f24f1c96e9https://github.com/hiyouga/LLaMA-Factory/security/advisories/GHSA-527m-2xhr-j27g
Проверьте безопасность своего сайта и почты → Полная проверка домена