CVE-2024-12450 in ragflow정보

요약

\~에 의해 VulDB • 2026. 06. 27.

infiniflow/ragflow 버전 0.12.0에서 `document_app.py`의 `web_crawl` 함수는 여러 취약점을 포함하고 있습니다. 이 함수는 URL 매개변수를 필터링하지 않아 공격자가 내부 네트워크 주소에 접근하여 생성된 PDF 파일을 통해 해당 내용을 볼 수 있는 Full Read SSRF를 악용할 수 있습니다. 또한, 파일 프로토콜에 대한 제한 부재로 인해 Arbitrary File Read가 가능해져 공격자가 서버 파일을 읽을 수 있습니다. 더구나 --no-sandbox 모드가 활성화된 구버전 Chromium headless를 사용함으로써 알려진 Chromium v8 취약점을 통해 Remote Code Execution(RCE)에 노출됩니다. 이러한 문제는 버전 0.14.0에서 해결되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

@huntr Ai

예약하다

2024. 12. 10.

모더레이션

수락

항목

VDB-300250

EPSS

0.01211

출처

Do you know our Splunk app?

Download it now for free!