Уязвимость фреймворка для работы с большими языковыми моделями (LLM) LlamaIndex связана с неправильным ограничением рекурсивных ссылок на сущности в DTD. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств антивирусного программного обеспечения для анализа XML-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с XML-файлами, полученными из недоверенных источников.
Использование рекомендаций:
https://github.com/run-llama/llama_index/commit/4f6ee062b19212106a2632af9c9521fc7f0a3584
https://github.com/run-llama/llama_index/pull/18362
| Балл | 7.8 — высокая опасность |