CVE-2024-12450 in ragflowИнформация

Сводка

по VulDB • 26.06.2026

В версиях infiniflow/ragflow от 0.12.0 функция `web_crawl` в файле `document_app.py` содержит несколько уязвимостей. Функция не фильтрует параметры URL, что позволяет злоумышленникам эксплуатировать Full Read SSRF путем доступа к адресам внутренней сети и просмотра их содержимого через сгенерированные PDF-файлы. Кроме того, отсутствие ограничений на использование протокола file обеспечивает Arbitrary File Read, позволяя злоумышленникам читать файлы сервера. Использование устаревшей версии Chromium headless с включенным режимом --no-sandbox делает приложение восприимчивым к Remote Code Execution (RCE) через известные уязвимости в движке v8 браузера Chromium. Эти проблемы устранены в версии 0.14.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

@huntr Ai

Резервировать

10.12.2024

Раскрытие

20.03.2025

Модерация

принято

Вход

VDB-300250

EPSS

0.01211

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!