PT-2026-2317 · Unknown · Llama Index
Lifeteam2024
·
Publicado
2026-01-12
·
Atualizado
2026-01-12
·
CVE-2024-14021
CVSS v4.0
8.4
Alta
| Vetor | AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do LlamaIndex até e incluindo a 0.11.6
Descrição
O LlamaIndex contém um problema de desserialização insegura na função
BGEM3Index.load from disk() localizada em llama index/indices/managed/bge m3/base.py. A função utiliza pickle.load() para desserializar o arquivo multi embed store.pkl de um persist dir fornecido pelo usuário sem validação adequada. Isso permite que um atacante que possa controlar o conteúdo do persist dir e fornecer um arquivo pickle malicioso potencialmente execute código arbitrário quando o índice é carregado do disco. A função vulnerável é BGEM3Index.load from disk().Recomendações
Atualize o LlamaIndex para uma versão superior à 0.11.6.
Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Llama Index