CVE-2026-28797 in ragflowinformazioni

Riassunto

di VulDB • 15/06/2026

RAGFlow è un motore RAG (Retrieval-Augmented Generation) open-source. Nelle versioni 0.24.0 e precedenti, è presente una vulnerabilità di Server-Side Template Injection (SSTI) nei componenti Agent workflow Text Processing (StringTransform) e Message di RAGFlow. Questi componenti utilizzano jinja2.Template non sandboxed di Python per renderizzare template forniti dall'utente, consentendo a qualsiasi utente autenticato di eseguire comandi del sistema operativo arbitrari sul server. Al momento della pubblicazione, non sono disponibili patch pubblicamente accessibili.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

03/03/2026

Divulgazione

04/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00386

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!