Vulnerabilities ›

CVE-2024-14021

High ⚡ Exploit Available

CWE-502 — Weakness Type

                    Published: Jan 12, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

7.8

🔗 NVD Official

📄 Description (English)

LlamaIndex (run-llama/llama_index) versions up to and including 0.11.6 contain an unsafe deserialization vulnerability in BGEM3Index.load_from_disk() in llama_index/indices/managed/bge_m3/base.py. The function uses pickle.load() to deserialize multi_embed_store.pkl from a user-supplied persist_dir without validation. An attacker who can provide a crafted persist directory containing a malicious pickle file can trigger arbitrary code execution when the victim loads the index from disk.

🤖 AI Executive Summary

LlamaIndex versions up to 0.11.6 contain an unsafe deserialization vulnerability in BGEM3Index.load_from_disk() that uses pickle.load() without validation, allowing arbitrary code execution through malicious pickle files. Organizations using LlamaIndex for AI/ML applications must immediately update to patched versions and validate persist directory sources.

📄 Description (Arabic)

تحتوي ثغرة CVE-2024-14021 على مشكلة في وظيفة BGEM3Index.load_from_disk() التي تحمل ملفات pickle بدون التحقق من صحتها. يمكن لمهاجم توفير دليل مستمر يحتوي على ملف pickle ضار لتنفيذ كود تعسفي على نظام الضحية. هذا يؤثر على جميع التطبيقات التي تستخدم LlamaIndex لتحميل نماذج التضمين من الأقراص.

🤖 ملخص تنفيذي (AI)

إصدارات LlamaIndex حتى 0.11.6 تحتوي على ثغرة عدم تسلسل آمن في BGEM3Index.load_from_disk() التي تستخدم pickle.load() بدون التحقق، مما يسمح بتنفيذ كود تعسفي من خلال ملفات pickle ضارة. يجب على المنظمات التي تستخدم LlamaIndex لتطبيقات الذكاء الاصطناعي التحديث الفوري للإصدارات المصححة.

🤖 AI Intelligence Analysis Analyzed: May 2, 2026 12:32

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking government telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1059 T1203 T1047

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade LlamaIndex to version 0.11.7 or later. Implement strict validation of persist_dir sources and restrict access to directory creation. Use code signing for serialized objects. Implement sandboxing for index loading operations. Monitor for suspicious pickle file modifications in persist directories.

🔧 خطوات المعالجة (العربية)

قم بترقية LlamaIndex فوراً إلى الإصدار 0.11.7 أو أحدث. تطبيق التحقق الصارم من مصادر persist_dir وتقييد الوصول لإنشاء الدلائل. استخدام توقيع الكود للكائنات المسلسلة. تطبيق العزل الرملي لعمليات تحميل الفهرس. مراقبة التعديلات المريبة على ملفات pickle في الدلائل المستمرة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1 A.14.2.5

🔵 SAMA CSF

ID.BE-5.1 PR.DS-6.1 PR.IP-1.1

🟡 ISO 27001:2022

A.12.2.1 A.14.2.1 A.14.2.5

🔗 References & Sources 4

🔗

https://github.com/run-llama/llama_index

disclosure@vulncheck.com

Product

🔗

https://huntr.com/bounties/ab4ceeb4-aa85-4d1c-aaca-4eda1b71fc12

disclosure@vulncheck.com

Exploit Third Party Advisory

🔗

https://www.llamaindex.ai/

disclosure@vulncheck.com

Product

🔗

https://www.vulncheck.com/advisories/llamaindex-bgem3index-unsafe-deserialization

disclosure@vulncheck.com

Third Party Advisory

📦 Affected Products / CPE 1 entries

llamaindex:llamaindex

📊 CVSS Score

7.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.8

CWECWE-502

EPSS0.08%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-12

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available CWE-502

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2024-14021

💬 Comments

Introduce Yourself

Sign In Required