免责声明:本公众号所发布的全部内容,包括但不限于技术文章、POC脚本、漏洞利用工具及相关测试环境,均仅限于合法的网络安全学习、研究和教学用途。所有人在使用上述内容时,应严格遵守中华人民共和国相关法律法规以及道德伦理要求。未经明确的官方书面授权,严禁将公众号内的任何内容用于未经授权的渗透测试、漏洞利用或攻击行为。 所有人仅可在自己合法拥有或管理的系统环境中进行本地漏洞复现与安全测试,或用于具有明确授权的合法渗透测试项目。所有人不得以任何形式利用公众号内提供的内容从事非法、侵权或其他不当活动。 如因违反上述规定或不当使用本公众号提供的任何内容,造成的一切法律责任、经济损失、纠纷及其他任何形式的不利后果,均由相关成员自行承担,与本公众号无任何关联。
漏洞背景
昨天晚上刷到了“微步在线研究响应中心”发布了了一则漏洞通告,通告了一个llama_Index SQL注入漏洞
漏洞简介显示漏洞利用难度低,造成伤害大,而且技术细节已经公开了,于是想花点时间来研究看看。
漏洞介绍
LlamaIndex(原名 GPT Index)是一个开源的数据框架,旨在帮助用户将本地或外部的数据(如文档、数据库、API 等)与大语言模型(LLM)高效集成。它提供了灵活的数据加载、索引构建和查询接口,使开发者可以快速构建基于 LLM 的问答系统、聊天机器人或语义搜索应用。LlamaIndex 常用于构建“私有知识库问答”场景,是 LangChain 等 LLM 应用生态中的重要组成部分。
在 run-llama/llama_index v0.12.19 版本中的 DuckDBVectorStore 的删除功能存在 SQL 注入漏洞。该漏洞允许攻击者操纵 ref_doc_id 参数,从而能够读取和写入服务器上的任意文件,可能导致远程代码执行(RCE)。
漏洞版本
-
Llama_index <=0.12.20
漏洞利用
首先使用Python开启一个简单的引用了 DuckDBVectorStore库的web服务器,接着利用如下脚本向 ~/.ssh/authorized_keys写入内容
发现成功写入 ~/.ssh/authorized_keys
漏洞修复
这个更新到Llama_index >= 0.12.21的版本即可,官方使用了参数化查询机制来避免SQL注入
知识星球
漏洞利用POC和本地部署环境可在知识星球内自行领取
星球不定期更新市面上最新的热点漏洞及复现环境,欢迎加入交流和学习
亮点一、市面热点漏洞详细分析,与deepseek本地部署息息相关的:Ollama任意文件读取漏洞(CVE-2024-37032)详细分析
亮点二、近日最新披露漏洞:Erlang/OTP SSH 远程代码执行漏洞(CVE-2025-32433)POC及一键部署环境
以及有师傅对该POC提出疑问后也会进行解答:
亮点三、框架漏洞专题-若依:
若依某漏洞分析:
以及帮助师傅们轻松搭建若依环境的docker的tar包:
亮点四、实战渗透测试技巧分享&讨论:记一次信息泄漏到数据库接管的渗透测试
某次若依系统渗透测试带来的思考与讨论
亮点五、一些比较新奇有趣的漏洞分享:Windows拖拽图标而触发的漏洞
知识星球加入方式如下,欢迎师傅们加入进行学习和讨论!
原文始发于微信公众号(天翁安全):llama_Index SQL注入漏洞(CVE-2025-1750)POC及本地复现部署环境
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论