Plateforme
python
Composant
llama-index-readers-obsidian
Corrigé dans
0.12.28
0.5.1
La vulnérabilité CVE-2025-3046 est une faille de traversal de chemin (Path Traversal) affectant la classe ObsidianReader de l'intégration LlamaIndex Readers: Obsidian. Cette faille, présente dans les versions antérieures à 0.5.1 (de 0.12.23 à 0.12.28), permet à un attaquant de lire des fichiers arbitraires via l'utilisation de liens symboliques. Une correction est disponible dans la version 0.5.1.
Cette vulnérabilité exploite le fait que ObsidianReader ne résout pas correctement les liens symboliques et ne valide pas si les chemins résolus se situent bien dans le répertoire du coffre-fort Obsidian. Un attaquant peut créer des liens symboliques pointant vers des fichiers situés en dehors du répertoire du coffre-fort, et ces fichiers seront traités comme des fichiers Markdown valides. Cela peut conduire à la divulgation d'informations sensibles stockées en dehors du coffre-fort, telles que des fichiers de configuration, des clés API, ou d'autres données confidentielles. L'impact est aggravé par le fait que LlamaIndex est souvent utilisé dans des contextes où la sécurité des données est primordiale.
La vulnérabilité CVE-2025-3046 a été rendue publique le 2025-07-07. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de créer des liens symboliques et de les placer dans un emplacement accessible à l'application. Aucune entrée n'est présente dans le KEV de CISA à ce jour.
Organizations and developers using llama-index-readers-obsidian for integrating Obsidian vaults with LlamaIndex applications are at risk. This includes those deploying LlamaIndex in environments where sensitive data is stored within Obsidian vaults, particularly if the application runs with elevated privileges or has access to the broader file system.
• python / supply-chain:
import os
import subprocess
def check_llama_index_version():
try:
result = subprocess.check_output(['pip', 'show', 'llama-index-readers-obsidian'], stderr=subprocess.STDOUT, text=True)
version = next(line.split(':')[-1].strip() for line in result.splitlines() if 'Version:' in line)
print(f"llama-index-readers-obsidian version: {version}")
if version <= '0.5.0':
print("VULNERABLE: Upgrade required.")
else:
print("Not vulnerable.")
except FileNotFoundError:
print("llama-index-readers-obsidian not installed.")
check_llama_index_version()• generic web: Check for unusual file access patterns in Obsidian vault logs. Look for requests attempting to access files outside the expected directory structure.
disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau vers la version 0.5.1 de llama-index-readers-obsidian. En attendant, une mesure temporaire consiste à restreindre l'accès au répertoire du coffre-fort Obsidian et à surveiller les tentatives d'accès à des fichiers en dehors de ce répertoire. Il est également recommandé de désactiver la résolution de liens symboliques au niveau du système d'exploitation si possible. Après la mise à niveau, vérifiez que les liens symboliques pointant vers des fichiers externes ne sont plus traités comme des fichiers Markdown valides.
Actualice la biblioteca `llama_index` a la versión 0.12.29 o superior. Esto corrige la vulnerabilidad de path traversal a través de enlaces simbólicos en la clase `ObsidianReader`. La actualización asegura que los enlaces simbólicos se resuelvan correctamente y se validen para evitar el acceso a archivos fuera del directorio previsto.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-3046 is a Path Traversal vulnerability in the llama-index-readers-obsidian component, allowing attackers to read arbitrary files via symbolic links in versions prior to 0.5.1.
You are affected if you are using llama-index-readers-obsidian versions 0.12.23 to 0.5.0. Versions before 0.5.1 are vulnerable.
Upgrade llama-index-readers-obsidian to version 0.5.1 or later. As a temporary workaround, restrict file access permissions within the Obsidian vault directory.
There is currently no indication of active exploitation campaigns targeting this vulnerability.
Refer to the LlamaIndex repository for updates and advisories: [https://github.com/run-llama/llamaindex](https://github.com/run-llama/llamaindex)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.