一、 漏洞 CVE-2025-1752 基础信息
漏洞信息
                                        # 在run-llama/llama_index中存在拒绝服务漏洞

## 概述
KnowledgeBaseWebReader 类中的一个拒绝服务 (DoS) 漏洞影响了 run-llama/llama_index 项目。该漏洞由于未正确实现 `max_depth` 参数,导致攻击者可以通过重复函数调用来耗尽 Python 的递归限制,从而导致资源耗尽并最终崩溃 Python 进程。

## 影响版本
- 最新版本 (v0.12.15)

## 细节
漏洞源于在 `get_article_urls` 函数中未适当实现 `max_depth` 参数。这使得攻击者能够通过重复调用该函数来耗尽 Python 的递归限制,从而导致资源消耗并最终使 Python 进程崩溃。

## 影响
- 资源耗尽
- Python 进程崩溃
- 拒绝服务
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Denial of Service in run-llama/llama_index
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Denial of Service (DoS) vulnerability has been identified in the KnowledgeBaseWebReader class of the run-llama/llama_index project, affecting version ~ latest(v0.12.15). The vulnerability arises due to inappropriate secure coding measures, specifically the lack of proper implementation of the max_depth parameter in the get_article_urls function. This allows an attacker to exhaust Python's recursion limit through repeated function calls, leading to resource consumption and ultimately crashing the Python process.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
LlamaIndex 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LlamaIndex是LlamaIndex开源的一个 LLM 应用程序的数据框架。 LlamaIndex 0.12.15版本存在资源管理错误漏洞,该漏洞源于max_depth参数实现不当,可能导致拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-1752 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1752 的情报信息