Mascia

**Nome do Software Vulnerável e Versões Afetadas** LLama-Index CLI versão v0.12.20 **Descrição** O LLama-Index CLI contém uma vulnerabilidade de injeção de comandos do sistema operacional devido ao tratamento inadequado do argumento `--files`, que é passado diretamente para `os.system`. Isso permite que um atacante que controle o conteúdo deste argumento injete e execute comandos de shell arbitrários. Esta vulnerabilidade pode ser explorada localmente se o atacante tiver controle sobre os argumentos da CLI, e remotamente se uma aplicação web chamar o LLama-Index CLI com um nome de arquivo controlado pelo usuário, potencialmente levando à execução de código arbitrário no sistema afetado. **Recomendações** Para a versão v0.12.20, considere desativar o argumento `--files` até que uma correção esteja disponível para prevenir a injeção de comandos de shell arbitrários. Restrinja o acesso ao LLama-Index CLI para minimizar o risco de exploração, especialmente em cenários onde entradas controladas pelo usuário possam ser passadas para a CLI.