一、 漏洞 CVE-2025-6210 基础信息
漏洞信息
# 基于硬链接的路径遍历漏洞在 run-llama/llama_index
## 漏洞概述
在 run-llama/llama_index 仓库的 ObsidianReader 类中发现了一个漏洞,该漏洞允许通过硬链接进行路径遍历攻击。
## 影响版本
- 版本 0.12.27 存在该漏洞
- 该漏洞在版本 0.5.2 中已修复
## 漏洞细节
漏洞源于 load_data() 方法中对硬链接处理不足,安全检查未能区分真实文件和硬链接。攻击者可以利用此漏洞绕过路径限制,访问敏感系统文件,如 `/etc/passwd`。
## 影响
该漏洞允许攻击者利用硬链接访问系统中其他敏感文件,从而导致潜在的信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Hardlink-Based Path Traversal in run-llama/llama_index
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the ObsidianReader class of the run-llama/llama_index repository, specifically in version 0.12.27, allows for hardlink-based path traversal. This flaw permits attackers to bypass path restrictions and access sensitive system files, such as /etc/passwd, by exploiting hardlinks. The vulnerability arises from inadequate handling of hardlinks in the load_data() method, where the security checks fail to differentiate between real files and hardlinks. This issue is resolved in version 0.5.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
LlamaIndex 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LlamaIndex是LlamaIndex开源的一个 LLM 应用程序的数据框架。 LlamaIndex 0.12.27版本存在路径遍历漏洞,该漏洞源于ObsidianReader类中硬链接处理不当,可能导致路径遍历攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-6210 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-6210 的情报信息
-
-
标题: Obsidian reader checks and skips hardlinks (#18950) · run-llama/llama_index@a86c96a · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-6210