【AI高危漏洞预警】llama_index DuckDBVectorStore SQL注入漏洞CVE-2025-1750

cexlife 飓风网络安全 2025-06-04 14:24

漏洞描述:

llаmа_Indех是一个用于构建基于数据的LLM驱动代理的领先框架,该漏洞由于llаmа_Indех的DuсkDBVесtоrStоrе组件中的rеf_dос_id参数直接执行攻击者传递的恶意SQL语句,导致任意文件读取和写入漏洞。

攻击场景:

攻击者可能通过DuckDBVectorStore中的delete函数对系统进行攻击,利用ref_doc_id参数值控制漏洞。

影响产品:

Llama_index <=0.12.19 

补丁名称:

llаmа_indех SQL注入漏洞的补丁—更新至最新版本v0.12.40

文件链接:

https://github.com/run-llama/llama_index/releases/tag/v0.12.40