CVE-2024-12450 in ragflow
Sumário
de VulDB • 26/06/2026
Nas versões do infiniflow/ragflow anteriores à 0.12.0, a função `web_crawl` em `document_app.py` contém múltiplas vulnerabilidades. A função não filtra os parâmetros de URL, permitindo que atacantes explorem SSRF (Server-Side Request Forgery) completa ao acessar endereços da rede interna e visualizar seu conteúdo por meio dos arquivos PDF gerados. Além disso, a ausência de restrições no protocolo file permite Leitura Arbitrária de Arquivos, possibilitando que os atacantes leiam arquivos do servidor. Ademais, o uso de uma versão desatualizada do Chromium headless com o modo --no-sandbox habilitado torna a aplicação suscetível à Execução Remota de Código (RCE) por meio das vulnerabilidades conhecidas do v8 do Chromium. Esses problemas foram resolvidos na versão 0.14.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.