Platform
python
Component
llama-index-readers-obsidian
Opgelost in
0.12.28
0.5.1
CVE-2025-3046 is een Path Traversal kwetsbaarheid in de ObsidianReader klasse van de llama-index-readers-obsidian component, onderdeel van de LlamaIndex Readers Integration. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden te lezen door middel van symbolische links. De kwetsbaarheid treft versies van llama-index-readers-obsidian tot en met 0.5.0 en is verholpen in versie 0.5.1.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie die zich buiten de Obsidian vault directory bevindt. Aanvallers kunnen symbolische links plaatsen die verwijzen naar bestanden op het bestandssysteem, die vervolgens door de ObsidianReader worden verwerkt alsof ze legitieme Markdown bestanden zijn. Dit kan leiden tot het blootleggen van configuratiebestanden, broncode, of andere gevoelige gegevens. De impact is aanzienlijk, omdat de aanvaller in essentie de mogelijkheid heeft om bestanden te lezen die ze anders niet zouden kunnen bereiken, afhankelijk van de permissies van de gebruiker die de applicatie uitvoert.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar in de NVD. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de beschikbaarheid van de kwetsbaarheid en de relatieve eenvoud van de exploitatie maken het een potentieel doelwit. De CVSS score van 7.5 (HIGH) duidt op een significant risico.
Organizations and developers using llama-index-readers-obsidian for integrating Obsidian vaults with LlamaIndex applications are at risk. This includes those deploying LlamaIndex in environments where sensitive data is stored within Obsidian vaults, particularly if the application runs with elevated privileges or has access to the broader file system.
• python / supply-chain:
import os
import subprocess
def check_llama_index_version():
try:
result = subprocess.check_output(['pip', 'show', 'llama-index-readers-obsidian'], stderr=subprocess.STDOUT, text=True)
version = next(line.split(':')[-1].strip() for line in result.splitlines() if 'Version:' in line)
print(f"llama-index-readers-obsidian version: {version}")
if version <= '0.5.0':
print("VULNERABLE: Upgrade required.")
else:
print("Not vulnerable.")
except FileNotFoundError:
print("llama-index-readers-obsidian not installed.")
check_llama_index_version()• generic web: Check for unusual file access patterns in Obsidian vault logs. Look for requests attempting to access files outside the expected directory structure.
disclosure
Exploit Status
EPSS
0.14% (34% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.5.1 van llama-index-readers-obsidian. Indien een upgrade direct onmogelijk is, kan het beperken van de permissies van de gebruiker die de applicatie uitvoert helpen om de potentiële schade te beperken. Het is ook aan te raden om de Obsidian vault directory te beveiligen en te voorkomen dat symbolische links in deze directory worden geplaatst. Overweeg het implementeren van een Web Application Firewall (WAF) die symlink-gerelateerde patronen in inkomende verzoeken detecteert en blokkeert.
Actualice la biblioteca `llama_index` a la versión 0.12.29 o superior. Esto corrige la vulnerabilidad de path traversal a través de enlaces simbólicos en la clase `ObsidianReader`. La actualización asegura que los enlaces simbólicos se resuelvan correctamente y se validen para evitar el acceso a archivos fuera del directorio previsto.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-3046 is a Path Traversal vulnerability in the llama-index-readers-obsidian component, allowing attackers to read arbitrary files via symbolic links in versions prior to 0.5.1.
You are affected if you are using llama-index-readers-obsidian versions 0.12.23 to 0.5.0. Versions before 0.5.1 are vulnerable.
Upgrade llama-index-readers-obsidian to version 0.5.1 or later. As a temporary workaround, restrict file access permissions within the Obsidian vault directory.
There is currently no indication of active exploitation campaigns targeting this vulnerability.
Refer to the LlamaIndex repository for updates and advisories: [https://github.com/run-llama/llamaindex](https://github.com/run-llama/llamaindex)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.