CRITICAL🇬🇧 English

CVE-2025-1793

SQL injection w LlamaIndex — nieautoryzowany dostęp do danych przez integracje vector store

CVSS 9.8v3.0pub. 2025-06-05upd. 2025-07-30

Wiele integracji vector store w bibliotece LlamaIndex w wersji v0.12.21 zawiera podatności typu SQL injection (CWE-89). Luka o krytycznym poziomie zagrożenia (CVSS 9.8) umożliwia nieuwierzytelnionemu atakującemu zdalnie odczytywać i modyfikować dane innych użytkowników aplikacji.

Pokaż oryginał (EN)

Multiple vector store integrations in run-llama/llama_index version v0.12.21 have SQL injection vulnerabilities. These vulnerabilities allow an attacker to read and write data using SQL, potentially leading to unauthorized access to data of other users depending on the usage of the llama-index library in a web application.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniego oczyszczania danych wejściowych przekazywanych do zapytań SQL w integracjach vector store biblioteki LlamaIndex. Atakujący może wstrzyknąć złośliwy kod SQL do parametrów przetwarzanych przez bibliotekę, co skutkuje wykonaniem niezamierzonych operacji na bazie danych. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a jego wykorzystanie jest stosunkowo proste (niska złożoność ataku).

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych innych użytkowników aplikacji webowej korzystającej z biblioteki LlamaIndex, a także modyfikować przechowywane dane — co prowadzi do naruszenia poufności i integralności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Poprawka została wprowadzona w commicie 0008041e8dde8e519621388e5d6f558bde6ef42e dostępnym w repozytorium GitHub projektu run-llama/llama_index.

Kogo dotyczy

LlamaIndex (run-llama/llama_index) w wersji v0.12.21 — dotyczy aplikacji webowych wykorzystujących integracje vector store tej biblioteki.

Uwagi

Podatność została zgłoszona za pośrednictwem platformy Huntr (program bug bounty). Szczegóły techniczne dostępne są pod adresem huntr.com/bounties/8cb1555a-9655-4122-b0d6-60059e79183c.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Llamaindex

    APP
    Llamaindex
    0.12.21 – 0.12.28 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-1750CRITICAL9.8PL ✓ten sam produkt

SQL Injection w DuckDBVectorStore umożliwiający RCE (LlamaIndex)

CVE-2024-12909CRITICAL9.8PL ✓ten sam produkt

SQL Injection i RCE w FinanceChatLlamaPack biblioteki LlamaIndex

CVE-2024-11958CRITICAL9.8PL ✓ten sam produkt

SQL Injection umożliwiający RCE w komponencie duckdb_retriever biblioteki LlamaIndex

CVE-2024-3271CRITICAL9.8PL ✓ten sam produkt

Command injection w LlamaIndex — obejście safe_eval umożliwia RCE

CVE-2024-23751CRITICAL9.8PL ✓ten sam produkt

SQL injection w LlamaIndex przez funkcję Text-to-SQL