Plataforma
python
Componente
llama-index-readers-obsidian
Corrigido em
0.12.28
0.5.1
A vulnerabilidade CVE-2025-3046 é um Path Traversal identificado na classe ObsidianReader da integração llama-index-readers-obsidian. Essa falha permite que atacantes leiam arquivos arbitrários através do uso de links simbólicos, potencialmente expondo informações sensíveis contidas no vault do Obsidian. A vulnerabilidade afeta versões do llama-index-readers-obsidian menores ou iguais a 0.5.0, sendo corrigida na versão 0.5.1.
Um atacante pode explorar essa vulnerabilidade criando links simbólicos que apontam para arquivos fora do diretório do vault do Obsidian. Quando o ObsidianReader processa esses links, ele os resolve para os arquivos reais, permitindo que o atacante acesse e potencialmente exfiltre dados confidenciais. O impacto pode variar dependendo da sensibilidade dos arquivos acessíveis através dos links simbólicos, podendo incluir informações de configuração, dados de usuários ou outros dados críticos. A exploração bem-sucedida pode levar à divulgação de informações confidenciais e comprometer a integridade do sistema.
A vulnerabilidade CVE-2025-3046 foi publicada em 2025-07-07. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos. A avaliação de risco é considerada moderada, dada a natureza do Path Traversal e a possibilidade de exploração remota.
Organizations and developers using llama-index-readers-obsidian for integrating Obsidian vaults with LlamaIndex applications are at risk. This includes those deploying LlamaIndex in environments where sensitive data is stored within Obsidian vaults, particularly if the application runs with elevated privileges or has access to the broader file system.
• python / supply-chain:
import os
import subprocess
def check_llama_index_version():
try:
result = subprocess.check_output(['pip', 'show', 'llama-index-readers-obsidian'], stderr=subprocess.STDOUT, text=True)
version = next(line.split(':')[-1].strip() for line in result.splitlines() if 'Version:' in line)
print(f"llama-index-readers-obsidian version: {version}")
if version <= '0.5.0':
print("VULNERABLE: Upgrade required.")
else:
print("Not vulnerable.")
except FileNotFoundError:
print("llama-index-readers-obsidian not installed.")
check_llama_index_version()• generic web: Check for unusual file access patterns in Obsidian vault logs. Look for requests attempting to access files outside the expected directory structure.
disclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-3046 é atualizar a biblioteca llama-index-readers-obsidian para a versão 0.5.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente uma validação rigorosa dos caminhos de arquivos antes de processá-los. Isso pode envolver a verificação de que os caminhos resolvidos pertencem ao diretório do vault do Obsidian. Considere também a implementação de regras em um Web Application Firewall (WAF) para bloquear requisições que contenham links simbólicos suspeitos. Após a atualização, confirme a correção verificando se o ObsidianReader não consegue mais acessar arquivos fora do diretório do vault ao tentar processar links simbólicos.
Actualice la biblioteca `llama_index` a la versión 0.12.29 o superior. Esto corrige la vulnerabilidad de path traversal a través de enlaces simbólicos en la clase `ObsidianReader`. La actualización asegura que los enlaces simbólicos se resuelvan correctamente y se validen para evitar el acceso a archivos fuera del directorio previsto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-3046 is a Path Traversal vulnerability in the llama-index-readers-obsidian component, allowing attackers to read arbitrary files via symbolic links in versions prior to 0.5.1.
You are affected if you are using llama-index-readers-obsidian versions 0.12.23 to 0.5.0. Versions before 0.5.1 are vulnerable.
Upgrade llama-index-readers-obsidian to version 0.5.1 or later. As a temporary workaround, restrict file access permissions within the Obsidian vault directory.
There is currently no indication of active exploitation campaigns targeting this vulnerability.
Refer to the LlamaIndex repository for updates and advisories: [https://github.com/run-llama/llamaindex](https://github.com/run-llama/llamaindex)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.