CVE-2024-12450 in ragflowinformação

Sumário

de VulDB • 26/06/2026

Nas versões do infiniflow/ragflow anteriores à 0.12.0, a função `web_crawl` em `document_app.py` contém múltiplas vulnerabilidades. A função não filtra os parâmetros de URL, permitindo que atacantes explorem SSRF (Server-Side Request Forgery) completa ao acessar endereços da rede interna e visualizar seu conteúdo por meio dos arquivos PDF gerados. Além disso, a ausência de restrições no protocolo file permite Leitura Arbitrária de Arquivos, possibilitando que os atacantes leiam arquivos do servidor. Ademais, o uso de uma versão desatualizada do Chromium headless com o modo --no-sandbox habilitado torna a aplicação suscetível à Execução Remota de Código (RCE) por meio das vulnerabilidades conhecidas do v8 do Chromium. Esses problemas foram resolvidos na versão 0.14.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

@huntr Ai

Reservar

10/12/2024

Divulgação

20/03/2025

Moderação

aceite

Entrada

VDB-300250

CPE

pronto

EPSS

0.01211

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!