北京赛克艾威科技有限公司 2025-03-20
ragflow是一款用于构建和管理 RAG(检索增强生成)应用的工具,其旧版本web\_crawl接口存在一个SSRF漏洞,已获得登录权限的远程攻击者,可以利用该漏洞访问服务器所处的内网环境,或者读取系统内的任意文件,导致敏感信息泄漏,并有可能实现远程代码执行。
升级至最新版本。
https://github.com/infiniflow/ragflow/commit/3faae0b2c2f8a26233ee1442ba04874b3406f6e9
https://huntr.com/bounties/da06360c-87c3-4ba9-be67-29f6eff9d44a