PYSEC-2026-1563

See a problem?
Import Source
https://github.com/pypa/advisory-database/blob/main/vulns/llama-index-core/PYSEC-2026-1563.yaml
JSON Data
https://api.osv.dev/v1/vulns/PYSEC-2026-1563
Aliases
Published
2026-07-07T14:34:53.244852Z
Modified
2026-07-07T17:46:52.743657508Z
Severity
  • 7.5 (High) CVSS_V3 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS Calculator
Summary
LlamaIndex Improper Handling of Exceptional Conditions vulnerability
Details

A vulnerability in the LangChainLLM class of the run-llama/llamaindex repository, version v0.12.5, allows for a Denial of Service (DoS) attack. The streamcomplete method executes the llm using a thread and retrieves the result via the getresponsegen method of the StreamingGeneratorCallbackHandler class. If the thread terminates abnormally before the llm.predict is executed, there is no exception handling for this case, leading to an infinite loop in the getresponse_gen function. This can be triggered by providing an input of an incorrect type, causing the thread to terminate and the process to continue running indefinitely.

References

Affected packages

PyPI / llama-index-core

Package

Name
llama-index-core
View open source insights on deps.dev
Purl
pkg:pypi/llama-index-core

Affected ranges

Type
ECOSYSTEM
Events
Introduced
0Unknown introduced version / All previous versions are affected
Fixed
0.12.6

Affected versions

0.*
0.9.41
0.9.42
0.9.42.post3
0.9.43
0.9.44
0.9.44.post1
0.9.44.post2
0.9.44.post3
0.9.45
0.9.46
0.9.47
0.9.48
0.9.49
0.9.50
0.9.50.post1
0.9.51
0.9.52
0.9.53
0.9.54
0.9.55
0.9.56
0.10.0
0.10.1
0.10.2
0.10.3
0.10.5a1
0.10.5a2
0.10.5a3
0.10.5a4
0.10.5a5
0.10.5a6
0.10.5a7
0.10.5a8
0.10.5a9
0.10.5a10
0.10.5
0.10.6
0.10.6.post1
0.10.7
0.10.8
0.10.8.post1
0.10.9
0.10.10
0.10.11
0.10.11.post1
0.10.12
0.10.13
0.10.14
0.10.14.post1
0.10.15
0.10.16
0.10.16.post1
0.10.17
0.10.18
0.10.18.post1
0.10.19
0.10.20
0.10.20.post1
0.10.20.post2
0.10.20.post3
0.10.21
0.10.21.post1
0.10.22
0.10.23
0.10.23.post1
0.10.24a1
0.10.24
0.10.24.post1
0.10.25a1
0.10.25
0.10.25.post1
0.10.25.post2
0.10.25.post3
0.10.26
0.10.27
0.10.28
0.10.29
0.10.30
0.10.31
0.10.32
0.10.33
0.10.34
0.10.35
0.10.35.post1
0.10.36
0.10.37
0.10.37.post1
0.10.38
0.10.38.post1
0.10.38.post2
0.10.39
0.10.39.post1
0.10.40
0.10.41
0.10.42
0.10.43
0.10.43.post1
0.10.44
0.10.45
0.10.46
0.10.47
0.10.48
0.10.48.post1
0.10.49
0.10.50
0.10.50.post1
0.10.51
0.10.52
0.10.52.post1
0.10.52.post2
0.10.53
0.10.53.post1
0.10.54
0.10.54.post1
0.10.55
0.10.56
0.10.57
0.10.58
0.10.59a1
0.10.59a2
0.10.59
0.10.60
0.10.61
0.10.62
0.10.63
0.10.64
0.10.65
0.10.66
0.10.67
0.10.68
0.10.68.post1
0.11.0
0.11.0.post1
0.11.1
0.11.2
0.11.3
0.11.4
0.11.5
0.11.6
0.11.7
0.11.8
0.11.9
0.11.10
0.11.11
0.11.12
0.11.13
0.11.13.post1
0.11.14
0.11.15
0.11.16
0.11.17
0.11.18
0.11.19
0.11.20
0.11.21
0.11.22
0.11.23
0.12.0
0.12.1
0.12.2
0.12.3
0.12.4
0.12.5

Database specific

source
"https://github.com/pypa/advisory-database/blob/main/vulns/llama-index-core/PYSEC-2026-1563.yaml"