一、 漏洞 CVE-2025-5472 基础信息
漏洞信息
# 通过不受控的递归JSON解析在JSONReader中实现的服务拒绝漏洞 (存在于 run-llama/llama_index 中)
## 概述
JSONReader组件在处理深度嵌套的JSON结构时存在堆栈溢出漏洞,这可能导致DoS攻击,引发应用程序崩溃。
## 影响版本
- 0.12.28
## 细节
JSONReader组件在处理深度嵌套的JSON结构时采用不安全的递归遍历设计,并且缺乏深度验证,这使得它在处理嵌套过深的JSON数据时容易导致堆栈溢出,触发`RecursionError`从而引发应用程序崩溃。
## 影响
此漏洞影响服务的可用性,使服务变得不可靠并扰乱工作流程。已通过版本0.12.38修复此问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Denial of Service via Uncontrolled Recursive JSON Parsing in JSONReader in run-llama/llama_index
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The JSONReader in run-llama/llama_index versions 0.12.28 is vulnerable to a stack overflow due to uncontrolled recursive JSON parsing. This vulnerability allows attackers to trigger a Denial of Service (DoS) by submitting deeply nested JSON structures, leading to a RecursionError and crashing applications. The root cause is the unsafe recursive traversal design and lack of depth validation, which makes the JSONReader susceptible to stack overflow when processing deeply nested JSON. This impacts the availability of services, making them unreliable and disrupting workflows. The issue is resolved in version 0.12.38.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未经控制的递归
来源:美国国家漏洞数据库 NVD
漏洞标题
LlamaIndex 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LlamaIndex是LlamaIndex开源的一个 LLM 应用程序的数据框架。 LlamaIndex 0.12.28版本存在安全漏洞,该漏洞源于JSONReader中递归解析不受控制,可能导致拒绝服务攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-5472 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-5472 的情报信息
-
-
标题: fix: prevent DoS attacks in JSONReader (#18877) · run-llama/llama_index@c032843 · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-5472