SQL Injection in run-llama/llama_index

An SQL injection vulnerability exists in the delete function of DuckDBVectorStore in run-llama/llama_index version v0.12.19. This vulnerability allows an attacker to manipulate the ref_doc_id parameter, enabling them to read and write arbitrary files on the server, potentially leading to remote code execution (RCE).

N/A

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

LlamaIndex SQL注入漏洞

LlamaIndex是LlamaIndex开源的一个 LLM 应用程序的数据框架。 LlamaIndex v0.12.19版本存在SQL注入漏洞，该漏洞源于ref_doc_id参数操作不当导致SQL注入，可能导致远程代码执行。

N/A

N/A