CVE-2024-58339

Nome do Software Vulnerável e Versões Afetadas Versões do LlamaIndex até e incluindo a 0.12.2

Descrição As versões do LlamaIndex até e incluindo a 0.12.2 apresentam um problema onde o consumo de recursos não é devidamente controlado na implementação do VannaPack VannaQueryEngine. A lógica de custom query() constrói instruções SQL a partir da entrada do usuário e as executa usando vn.run sql() sem limitar a execução da consulta. Isso permite que um atacante, em implantações onde usuários não confiáveis podem fornecer prompts, acione operações SQL intensivas em recursos ou ilimitadas, potencialmente levando a uma condição de negação de serviço ao esgotar a CPU ou a memória. O código vulnerável está localizado em llama index/packs/vanna/base.py, dentro da função custom query().

Recomendações Versões anteriores e incluindo a 0.12.2 são afetadas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.