CVE-2024-12450 in ragflow情報

要約

〜によって VulDB • 2026年06月26日

infiniflow/ragflow のバージョン 0.12.0 では、`document_app.py` 内の `web_crawl` 関数に複数の脆弱性が存在します。この関数は URL パラメータをフィルタリングしないため、攻撃者は内部ネットワークアドレスへのアクセスを通じて Full Read SSRF を悪用し、生成された PDF ファイル経由でそのコンテンツを表示することができます。さらに、ファイルプロトコルに対する制限がないため Arbitrary File Read が可能となり、攻撃者がサーバー上のファイルを閲覧できます。また、--no-sandbox モードが有効化された古い Chromium headless バージョンを使用しているため、既知の Chromium v8 脆弱性を通じて Remote Code Execution (RCE) の対象となります。これらの問題はバージョン 0.14.0 で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

@huntr Ai

予約する

2024年12月10日

モデレーション

承諾済み

エントリ

VDB-300250

EPSS

0.01211

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!