llama-index临时文件安全漏洞分析

本文详细分析了llama-index库0.12.33版本中存在的临时文件安全漏洞CVE-2025-7707,该漏洞由于默认使用共享缓存目录而非用户特定目录,导致在多用户环境中可能被恶意利用。

llama-index临时文件安全漏洞分析

漏洞概述

CVE-2025-7707是一个影响llama-index库的高危安全漏洞,该漏洞存在于0.12.33版本中,涉及不安全的临时文件处理。

技术细节

受影响版本

  • 受影响版本:< 0.13.0
  • 已修复版本:0.13.0

漏洞描述

llama_index库0.12.33版本默认将NLTK数据目录设置为代码库的子目录,该目录在多用户环境中具有全局可写权限。此配置允许本地用户覆盖、删除或破坏NLTK数据文件,可能导致:

  • 拒绝服务
  • 数据篡改
  • 权限提升

根本原因

该漏洞源于使用共享缓存目录而非用户特定目录,使其容易受到本地数据篡改和拒绝服务攻击。

安全指标

CVSS v3评分

  • 总体评分: 7.1/10(高危)
  • 攻击向量: 本地
  • 攻击复杂度: 低
  • 所需权限: 低
  • 用户交互: 无
  • 影响范围: 未改变
  • 机密性影响: 无
  • 完整性影响: 高
  • 可用性影响: 高

弱点分类

  • CWE: CWE-377(不安全的临时文件)

参考信息

  • NVD漏洞详情:https://nvd.nist.gov/vuln/detail/CVE-2025-7707
  • 修复提交:run-llama/llama_index@9881639
  • 漏洞赏金:https://huntr.com/bounties/3fe2c8ab-6727-4aef-a0ef-4d2818e48803

标识符

  • CVE ID: CVE-2025-7707
  • GHSA ID: GHSA-rg9h-vx28-xxp5

解决方案

用户应立即升级到llama-index 0.13.0或更高版本以修复此安全漏洞。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次