CVE-2025-5302

Source
https://cve.org/CVERecord?id=CVE-2025-5302
Import Source
https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-5302.json
JSON Data
https://api.osv.dev/v1/vulns/CVE-2025-5302
Aliases
Published
2025-08-25T15:03:18.097Z
Modified
2026-07-15T01:49:07.947767408Z
Severity
  • 8.6 (High) CVSS_V3 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:H CVSS Calculator
Summary
Denial of Service (DOS) in JSONReader in run-llama/llama_index
Details

A denial of service vulnerability exists in the JSONReader component of the run-llama/llama_index repository, specifically in version v0.12.37. The vulnerability is caused by uncontrolled recursion when parsing deeply nested JSON files, which can lead to Python hitting its maximum recursion depth limit. This results in high resource consumption and potential crashes of the Python process. The issue is resolved in version 0.12.38.

Database specific
{
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/5xxx/CVE-2025-5302.json",
    "cwe_ids": [
        "CWE-674"
    ],
    "cna_assigner": "@huntr_ai"
}
References

Affected packages

Git / github.com/run-llama/llama_index

Affected ranges

Type
GIT
Repo
https://github.com/run-llama/llama_index
Events
Introduced
0 Unknown introduced commit / All previous commits are affected
Fixed
Database specific
{
    "extracted_events": [
        {
            "introduced": "0"
        },
        {
            "fixed": "0.12.38"
        }
    ],
    "source": [
        "AFFECTED_FIELD",
        "REFERENCES"
    ]
}

Affected versions

v0.*
v0.10.0
v0.10.1
v0.10.10
v0.10.11
v0.10.12
v0.10.13
v0.10.13.post1
v0.10.14
v0.10.15
v0.10.16
v0.10.17
v0.10.18
v0.10.19
v0.10.20
v0.10.22
v0.10.23
v0.10.24
v0.10.25
v0.10.26
v0.10.27
v0.10.28
v0.10.28.post1
v0.10.29
v0.10.3
v0.10.30
v0.10.31
v0.10.32
v0.10.34
v0.10.35
v0.10.37
v0.10.38
v0.10.40
v0.10.41
v0.10.42
v0.10.43
v0.10.44
v0.10.47
v0.10.48
v0.10.48.post1
v0.10.49
v0.10.5
v0.10.50
v0.10.51
v0.10.52
v0.10.53
v0.10.54
v0.10.55
v0.10.57
v0.10.58
v0.10.59
v0.10.6
v0.10.60
v0.10.61
v0.10.62
v0.10.63
v0.10.66
v0.10.67
v0.10.67.post1
v0.10.68
v0.10.7
v0.10.8
v0.10.9
v0.11.0
v0.11.1
v0.11.10
v0.11.11
v0.11.12
v0.11.13
v0.11.14
v0.11.15
v0.11.16
v0.11.17
v0.11.17.post1
v0.11.18
v0.11.19
v0.11.2
v0.11.20
v0.11.21
v0.11.22
v0.11.23
v0.11.23.post1
v0.11.23.post2
v0.11.23.post3
v0.11.3
v0.11.4
v0.11.5
v0.11.6
v0.11.6.post1
v0.11.7
v0.11.8
v0.11.9
v0.12.0
v0.12.0.post1
v0.12.1
v0.12.10
v0.12.11
v0.12.12
v0.12.13
v0.12.13.post1
v0.12.14
v0.12.15
v0.12.16
v0.12.17
v0.12.17.post1
v0.12.17.post2
v0.12.18
v0.12.19
v0.12.2
v0.12.20
v0.12.21
v0.12.22
v0.12.22.post1
v0.12.23
v0.12.24
v0.12.24.post1
v0.12.24.post2
v0.12.25
v0.12.26
v0.12.27
v0.12.28
v0.12.29
v0.12.3
v0.12.30
v0.12.31
v0.12.32
v0.12.33
v0.12.34
v0.12.34.post1
v0.12.34.post2
v0.12.35
v0.12.36
v0.12.37
v0.12.4
v0.12.5
v0.12.6
v0.12.7
v0.12.8
v0.12.9
v0.12.9.post1
v0.3.1
v0.4.0
v0.4.1
v0.4.2
v0.6.0
v0.6.0.alpha1
v0.6.21
v0.6.3
v0.7.10
v0.7.11
v0.7.11.post1
v0.7.12
v0.7.13
v0.7.14
v0.7.19
v0.7.20
v0.7.24.post1
v0.7.9
v0.8.1.post1
v0.8.10
v0.8.11.post1
v0.8.11.post2
v0.8.11.post3
v0.8.2
v0.8.2.post1
v0.8.25
v0.8.29.post1
v0.8.3
v0.8.38
v0.8.4
v0.8.43
v0.8.43.post1
v0.8.45
v0.8.45.post1
v0.8.5.post1
v0.8.53.post1
v0.8.63.post1
v0.8.66
v0.8.69
v0.8.69.post1
v0.8.69.post2
v0.8.7
v0.9.0
v0.9.1
v0.9.10
v0.9.11.post1
v0.9.12
v0.9.14.post3
v0.9.15
v0.9.15.post1
v0.9.15.post2
v0.9.16.post1
v0.9.17.dev1
v0.9.22
v0.9.25
v0.9.26
v0.9.28
v0.9.28.post1
v0.9.28.post2
v0.9.29
v0.9.3
v0.9.3.post1
v0.9.31
v0.9.36
v0.9.37
v0.9.38
v0.9.39
v0.9.40
v0.9.41
v0.9.42
v0.9.42.post1
v0.9.42.post2
v0.9.45.post1
v0.9.46
v0.9.48
v0.9.5
v0.9.6
v0.9.6.post1
v0.9.6.post2
v0.9.7
v0.9.8
v0.9.8.post1
v0.9.9

Database specific

source
"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-5302.json"