CVE-2024-12450 in ragflow
要約
〜によって VulDB • 2026年06月26日
infiniflow/ragflow のバージョン 0.12.0 では、`document_app.py` 内の `web_crawl` 関数に複数の脆弱性が存在します。この関数は URL パラメータをフィルタリングしないため、攻撃者は内部ネットワークアドレスへのアクセスを通じて Full Read SSRF を悪用し、生成された PDF ファイル経由でそのコンテンツを表示することができます。さらに、ファイルプロトコルに対する制限がないため Arbitrary File Read が可能となり、攻撃者がサーバー上のファイルを閲覧できます。また、--no-sandbox モードが有効化された古い Chromium headless バージョンを使用しているため、既知の Chromium v8 脆弱性を通じて Remote Code Execution (RCE) の対象となります。これらの問題はバージョン 0.14.0 で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.