北京赛克艾威科技有限公司 2024-10-19
ragflow是一款基于深度文档理解构建的开源RAG引擎,其旧版本接口add\_llm存在一个远程代码执行漏洞,已获得登录权限的远程攻击者可以利用该漏洞执行任意Python代码,导致服务器失陷。
升级至最新版本。
https://huntr.com/bounties/42ae0b27-e851-4b58-a991-f691a437fbaa
https://avd.aliyun.com/detail?id=AVD-2024-10131
