CVE-2024-12450 in ragflow
Сводка
по VulDB • 26.06.2026
В версиях infiniflow/ragflow от 0.12.0 функция `web_crawl` в файле `document_app.py` содержит несколько уязвимостей. Функция не фильтрует параметры URL, что позволяет злоумышленникам эксплуатировать Full Read SSRF путем доступа к адресам внутренней сети и просмотра их содержимого через сгенерированные PDF-файлы. Кроме того, отсутствие ограничений на использование протокола file обеспечивает Arbitrary File Read, позволяя злоумышленникам читать файлы сервера. Использование устаревшей версии Chromium headless с включенным режимом --no-sandbox делает приложение восприимчивым к Remote Code Execution (RCE) через известные уязвимости в движке v8 браузера Chromium. Эти проблемы устранены в версии 0.14.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.