Уязвимость компонента ExeSQL программной RAG-платформы для вопросно-ответного взаимодействия с документами RAGFlow связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- сегментирование сети для ограничения доступа к уязвимому устройству;
- минимизация пользовательских привилегий;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
| Балл | 10 — критическая опасность |