发布日期：2025-03-20
更新日期：2025-06-12

受影响系统：

infiniflow/ragflow infiniflow/ragflow 0.12.0

描述：

---

CVE(CAN) ID: CVE-2024-12450

infiniflow/ragflow是InfiniFlow开源的一个基于深度文档理解的开源RAG引擎。
infiniflow/ragflow 0.12.0版本的document_app.py中的web_crawl函数存在服务器端请求伪造漏洞，该漏洞源于程序未正确过滤URL参数，攻击者可通过访问内部网络和查看内容利用该漏洞，从而读取服务器文件并远程执行代码。

<**>

建议：

---

厂商补丁：

infiniflow/ragflow
------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://huntr.com/bounties/da06360c-87c3-4ba9-be67-29f6eff9d44a

浏览次数：30
严重程度：0（网友投票）