CVE-2025-1753

Nome do Software Vulnerável e Versões Afetadas LLama-Index CLI versão v0.12.20

Descrição O LLama-Index CLI contém uma vulnerabilidade de injeção de comandos do sistema operacional devido ao tratamento inadequado do argumento --files, que é passado diretamente para os.system. Isso permite que um atacante que controle o conteúdo deste argumento injete e execute comandos de shell arbitrários. Esta vulnerabilidade pode ser explorada localmente se o atacante tiver controle sobre os argumentos da CLI, e remotamente se uma aplicação web chamar o LLama-Index CLI com um nome de arquivo controlado pelo usuário, potencialmente levando à execução de código arbitrário no sistema afetado.

Recomendações Para a versão v0.12.20, considere desativar o argumento --files até que uma correção esteja disponível para prevenir a injeção de comandos de shell arbitrários. Restrinja o acesso ao LLama-Index CLI para minimizar o risco de exploração, especialmente em cenários onde entradas controladas pelo usuário possam ser passadas para a CLI.