Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-13308

Опубликовано: 29 июн. 2025
Источник: fstec
CVSS3: 7.3
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость функции get_cache_dir() фреймворка для работы с большими языковыми моделями (LLM) LlamaIndex связана с созданием временных файлов с небезопасными разрешениями. Эксплуатация уязвимости может позволить нарушителю реализовать атаку отравления кэша

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

LlamaIndex

Версия ПО

до 0.13.0 (LlamaIndex)

Тип ПО

ПО для разработки ИИ

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/run-llama/llama_index/releases/tag/v0.13.0
https://github.com/run-llama/llama_index/commit/98816394d57c7f53f847ed7b60725e69d0e7aae4
https://github.com/run-llama/llama_index/commit/98816394d57c7f53f847ed7b60725e69d0e7aae4

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00018
Низкий

7.3 High

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-7647

CVSS3: 7.3
nvd
около 1 месяца назад

The llama-index-core package, up to version 0.12.44, contains a vulnerability in the `get_cache_dir()` function where a predictable, hardcoded directory path `/tmp/llama_index` is used on Linux systems without proper security controls. This vulnerability allows attackers on multi-user systems to steal proprietary models, poison cached embeddings, or conduct symlink attacks. The issue affects all Linux deployments where multiple users share the same system. The vulnerability is classified under CWE-379, CWE-377, and CWE-367, indicating insecure temporary file creation and potential race conditions.

github логотип

GHSA-cr7q-2w66-hjcm

CVSS3: 7.3
github
около 1 месяца назад

llama-index-core insecurely handles temporary files

EPSS

Процентиль: 3%
0.00018
Низкий

7.3 High

CVSS3

6.4 Medium

CVSS2