LlamaIndex पाथ ट्रावर्सल (Path Traversal) हमले के प्रति संवेदनशील है, जो इसके ObsidianReader क्लास के माध्यम से होता है

यह भेद्यता हमलावरों को प्रतीकात्मक लिंक का उपयोग करके मनमाना फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर vault निर्देशिका के बाहर स्थित फ़ाइलों पर प्रतीकात्मक लिंक बनाकर संवेदनशील डेटा, जैसे कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय जानकारी तक पहुंच प्राप्त कर सकते हैं। यदि हमलावर को सिस्टम पर लिखने की अनुमति है, तो वे प्रतीकात्मक लिंक को इस तरह से कॉन्फ़िगर कर सकते हैं कि वे महत्वपूर्ण सिस्टम फ़ाइलों को इंगित करें, जिससे संभावित रूप से सिस्टम की अखंडता से समझौता हो सकता है। इस भेद्यता का उपयोग अन्य भेद्यताओं का फायदा उठाने या सिस्टम पर आगे की हमले शुरू करने के लिए भी किया जा सकता है।

Organizations and developers using llama-index-readers-obsidian for integrating Obsidian vaults with LlamaIndex applications are at risk. This includes those deploying LlamaIndex in environments where sensitive data is stored within Obsidian vaults, particularly if the application runs with elevated privileges or has access to the broader file system.

• python / supply-chain:

import os
import subprocess

def check_llama_index_version():
    try:
        result = subprocess.check_output(['pip', 'show', 'llama-index-readers-obsidian'], stderr=subprocess.STDOUT, text=True)
        version = next(line.split(':')[-1].strip() for line in result.splitlines() if 'Version:' in line)
        print(f"llama-index-readers-obsidian version: {version}")
        if version <= '0.5.0':
            print("VULNERABLE: Upgrade required.")
        else:
            print("Not vulnerable.")
    except FileNotFoundError:
        print("llama-index-readers-obsidian not installed.")

check_llama_index_version()

• generic web: Check for unusual file access patterns in Obsidian vault logs. Look for requests attempting to access files outside the expected directory structure.

1. 2025-07-07Disclosure

   disclosure

1. आरक्षित2025-03-31
2. प्रकाशित2025-07-07
3. संशोधित2025-07-08
4. EPSS अद्यतन2026-03-23

CVE-2025-3046 को कम करने के लिए, llama-index-readers-obsidian को संस्करण 0.5.1 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो प्रतीकात्मक लिंक के उपयोग को सीमित करने के लिए vault निर्देशिका के लिए सख्त एक्सेस नियंत्रण लागू किया जा सकता है। इसके अतिरिक्त, प्रतीकात्मक लिंक के उपयोग को रोकने के लिए फ़ाइल सिस्टम स्तर पर सुरक्षा उपायों को लागू किया जा सकता है। प्रतीकात्मक लिंक के उपयोग को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर किया जा सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, सिस्टम की जांच करें।