Plataforma
python
Componente
llama-index-readers-obsidian
Corregido en
0.12.28
0.5.1
La vulnerabilidad CVE-2025-3046 es un fallo de Path Traversal descubierto en la clase ObsidianReader de la integración llama-index-readers-obsidian. Este fallo permite a un atacante leer archivos arbitrarios a través de enlaces simbólicos, comprometiendo la confidencialidad de la información almacenada. Afecta a versiones de llama-index-readers-obsidian menores o iguales a 0.5.0. La solución es actualizar a la versión 0.5.1.
Un atacante puede explotar esta vulnerabilidad creando un enlace simbólico que apunte a un archivo fuera del directorio del vault de Obsidian. Cuando llama-index-readers-obsidian procesa este enlace simbólico, lo interpreta como un archivo Markdown válido, permitiendo al atacante leer el contenido del archivo apuntado. Esto podría incluir archivos de configuración, claves de API, o cualquier otro archivo sensible almacenado en el sistema. El impacto potencial es la divulgación de información confidencial, lo que podría llevar a la comprometer la seguridad del sistema y la información del usuario. La severidad del impacto se agrava si el vault de Obsidian contiene información crítica o se comparte entre múltiples usuarios.
La vulnerabilidad CVE-2025-3046 fue publicada el 7 de julio de 2025. No se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de la descripción de la vulnerabilidad y la relativa facilidad de explotación la convierten en un objetivo potencial. La puntuación CVSS de 7.5 (HIGH) indica una probabilidad moderada de explotación. No se ha añadido a la lista KEV de CISA al momento de esta redacción.
Organizations and developers using llama-index-readers-obsidian for integrating Obsidian vaults with LlamaIndex applications are at risk. This includes those deploying LlamaIndex in environments where sensitive data is stored within Obsidian vaults, particularly if the application runs with elevated privileges or has access to the broader file system.
• python / supply-chain:
import os
import subprocess
def check_llama_index_version():
try:
result = subprocess.check_output(['pip', 'show', 'llama-index-readers-obsidian'], stderr=subprocess.STDOUT, text=True)
version = next(line.split(':')[-1].strip() for line in result.splitlines() if 'Version:' in line)
print(f"llama-index-readers-obsidian version: {version}")
if version <= '0.5.0':
print("VULNERABLE: Upgrade required.")
else:
print("Not vulnerable.")
except FileNotFoundError:
print("llama-index-readers-obsidian not installed.")
check_llama_index_version()• generic web: Check for unusual file access patterns in Obsidian vault logs. Look for requests attempting to access files outside the expected directory structure.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-3046 es actualizar llama-index-readers-obsidian a la versión 0.5.1 o superior, que corrige el fallo de Path Traversal. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al directorio del vault de Obsidian para evitar la creación de enlaces simbólicos maliciosos. Además, se puede implementar una solución temporal utilizando un WAF (Web Application Firewall) para bloquear solicitudes que contengan enlaces simbólicos sospechosos. Verifique que la actualización se haya completado correctamente ejecutando un script de prueba que intente acceder a un archivo fuera del directorio del vault utilizando un enlace simbólico.
Actualice la biblioteca `llama_index` a la versión 0.12.29 o superior. Esto corrige la vulnerabilidad de path traversal a través de enlaces simbólicos en la clase `ObsidianReader`. La actualización asegura que los enlaces simbólicos se resuelvan correctamente y se validen para evitar el acceso a archivos fuera del directorio previsto.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-3046 is a Path Traversal vulnerability in the llama-index-readers-obsidian component, allowing attackers to read arbitrary files via symbolic links in versions prior to 0.5.1.
You are affected if you are using llama-index-readers-obsidian versions 0.12.23 to 0.5.0. Versions before 0.5.1 are vulnerable.
Upgrade llama-index-readers-obsidian to version 0.5.1 or later. As a temporary workaround, restrict file access permissions within the Obsidian vault directory.
There is currently no indication of active exploitation campaigns targeting this vulnerability.
Refer to the LlamaIndex repository for updates and advisories: [https://github.com/run-llama/llamaindex](https://github.com/run-llama/llamaindex)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.