Prompt Injection leading to Arbitrary Code Execution in run-llama/llama_index 漏洞信息(CVE-2024-3098)

一、漏洞 CVE-2024-3098 基础信息

漏洞标题

提示注入导致在run-llama/llama_index中的任意代码执行

来源：AIGC 神龙大模型

漏洞描述信息

在`llama_index`包的`exec_utils`类中发现了一个漏洞，具体存在于`safe_eval`函数中，该漏洞允许注入提示，从而导致任意代码执行。这个问题是由于输入验证不足造成的，这可以被利用来绕过方法限制并执行未经授权的代码。这个漏洞是之前已解决的CVE-2023-39662漏洞的绕过，可以通过一个利用该漏洞在系统上创建文件的概念验证来进行演示。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

输出中的特殊元素转义处理不恰当(注入)

来源：AIGC 神龙大模型

漏洞标题

Prompt Injection leading to Arbitrary Code Execution in run-llama/llama_index

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was identified in the `exec_utils` class of the `llama_index` package, specifically within the `safe_eval` function, allowing for prompt injection leading to arbitrary code execution. This issue arises due to insufficient validation of input, which can be exploited to bypass method restrictions and execute unauthorized code. The vulnerability is a bypass of the previously addressed CVE-2023-39662, demonstrated through a proof of concept that creates a file on the system by exploiting the flaw.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

对生成代码的控制不恰当(代码注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

LlamaIndex 代码注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

LlamaIndex是Jerry Liu个人开发者的一个 LLM 应用程序的数据框架。 LlamaIndex存在代码注入漏洞，该漏洞源于 exec_utils 中的 safe_eval 函数输入验证不足，允许通过提示注入，导致任意代码执行。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

代码注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-3098 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-3098 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-3098 的公开POC

三、漏洞 CVE-2024-3098 的情报信息

一、漏洞 CVE-2024-3098 基础信息