BDU:2025-13308
Уязвимость функции get_cache_dir() фреймворка для работы с большими языковыми моделями (LLM) LlamaIndex, позволяющая нарушителю реализовать атаку отравления кэша
📄 Описание
Уязвимость функции get_cache_dir() фреймворка для работы с большими языковыми моделями (LLM) LlamaIndex связана с созданием временных файлов с небезопасными разрешениями. Эксплуатация уязвимости может позволить нарушителю реализовать атаку отравления кэша
🖥️ Уязвимое ПО
Сообщество свободного программного обеспечения
Наименование ПО: LlamaIndex
Версия ПО: до 0.13.0 (LlamaIndex)
Тип ПО: ПО для разработки ИИ
ОС / платформа:
⚙️ Технические сведения
Тип ошибки
Ситуация гонки Time-of-check Time-of-use (TOCTOU) (CWE-367), Небезопасные временные файлы (CWE-377), Создание временных файлов с небезопасными разрешениями (CWE-378), Создание временного файла в каталоге с неправильными разрешениями (CWE-379)
Класс уязвимости
Уязвимость кода
Дата выявления
29.06.2025
Способ эксплуатации
Нарушение авторизации, Манипулирование сроками и состоянием
Способ устранения
Обновление программного обеспечения
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Устранение
Уязвимость устранена
📊 CVSS
CVSS 2.0
AV:L/AC:L/Au:S/C:C/I:C/A:P
CVSS 3.0
AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
⚠️ Уровень опасности
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,3)
🔗 Источники и меры
🔗 https://github.com/run-llama/llama_index/commit/98... 🔗 https://huntr.com/bounties/a2baa08f-98bf-47a8-ac83...
🏷️ Идентификаторы
CVE-2025-7647
📅 Даты
Дата публикации
23.10.2025
Последнее обновление
23.10.2025
← Назад к списку