CVE-2025-7647:
Python Análisis y mitigación de vulnerabilidades
Vista general
The llama-index-core package through version 0.12.44 contains a security vulnerability in the get_cache_dir() function that uses a predictable, hardcoded directory path /tmp/llama_index on Linux systems without proper security controls. The vulnerability was discovered and disclosed on September 27, 2025 (NVD).
Técnicas
The vulnerability stems from insecure temporary file creation and potential race conditions in the get_cache_dir() function. It is classified under multiple CWE categories including CWE-379, CWE-377, and CWE-367. The CVSS v3.0 base score is 7.3 (High) with the vector string CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L (NVD, Huntr).
Impacto
This vulnerability affects Linux deployments where multiple users share the same system. Attackers with local access can potentially steal proprietary models, poison cached embeddings, or conduct symlink attacks (NVD).
Mitigación y soluciones alternativas
A fix has been implemented in the llama-index-core repository as evidenced by the commit (Github). Users should upgrade to versions newer than 0.12.44 to mitigate this vulnerability.
Recursos adicionales
Fuente: Este informe se generó utilizando IA
Relacionado Python Vulnerabilidades:
Evaluación gratuita de vulnerabilidades
Compare su postura de seguridad en la nube
Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.
Recursos adicionales de Wiz
Obtén una demostración personalizada
¿Listo para ver a Wiz en acción?
"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."
"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."
"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."