CVE-2024-6095 — 神龙十问 AI 深度分析摘要

🚨 **本质**：LocalAI `/models/apply` 接口存在 SSRF 和 LFI 漏洞。 💥 **后果**：攻击者可读取本地文件、探测内网服务，导致**数据泄露**和**内网渗透**。

🔍 **CWE**：CWE-918 (Server-Side Request Forgery)。 📍 **缺陷点**：API 未严格校验 URL 协议，支持 `http(s)://` 和 `file://`，导致**输入验证缺失**。

📦 **组件**：mudler/localai。 📅 **版本**：**2.15.0** 存在漏洞。 👤 **开发者**：Ettore Di Giacinto。

🕵️ **权限**：需**网络访问权限**（无需认证即可利用）。 📂 **数据**：可**部分读取**本地文件（受限于错误消息长度），可访问**内部 HTTP(s) 服务器**。

🚪 **门槛**：**低**。 🔑 **认证**：无需登录，只要能在网络层访问 LocalAI 实例即可触发。 ⚙️ **配置**：利用 `file://` 或内网 URL 即可。

🧪 **PoC**：有。 🔗 **来源**：GitHub 用户 `Abdurahmon3236` 提供 PoC，ProjectDiscovery 已更新 Nuclei 模板。 🔥 **在野**：数据未明确提及，但 PoC 已公开。

🔎 **自查**：扫描 `/models/apply` 接口。 🛠 **工具**：使用 Nuclei 模板 `http/cves/2024/CVE-2024-6095.yaml`。 👀 **特征**：观察是否响应 `file://` 协议或内网 IP 的请求。

✅ **已修复**。 📌 **版本**：升级至 **2.17** 或更高版本。 🔗 **补丁**：见 GitHub commit `2fc6fe8`。

🛡️ **临时规避**： 1️⃣ **网络隔离**：限制 LocalAI 访问内网和外部非信任源。 2️⃣ **WAF 防护**：拦截包含 `file://` 或内网 IP 的请求。 3️⃣ **最小权限**：确保服务不以高权限运行。

⚡ **优先级**：**高**。 📉 **风险**：无需认证即可利用，直接威胁内网安全和数据隐私。 🚀 **建议**：立即升级至 v2.17+，或实施网络隔离。