CVE-2026-28797 in ragflow
Riassunto
di VulDB • 15/06/2026
RAGFlow è un motore RAG (Retrieval-Augmented Generation) open-source. Nelle versioni 0.24.0 e precedenti, è presente una vulnerabilità di Server-Side Template Injection (SSTI) nei componenti Agent workflow Text Processing (StringTransform) e Message di RAGFlow. Questi componenti utilizzano jinja2.Template non sandboxed di Python per renderizzare template forniti dall'utente, consentendo a qualsiasi utente autenticato di eseguire comandi del sistema operativo arbitrari sul server. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.