ГлавнаяБаза уязвимостей БДУ → BDU:2025-14507
10критическая

BDU:2025-14507

Уязвимость компонента ExeSQL программной RAG-платформы для вопросно-ответного взаимодействия с документами RAGFlow, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2025-11-20
Описание

Уязвимость компонента ExeSQL программной RAG-платформы для вопросно-ответного взаимодействия с документами RAGFlow связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
RAGFlow (до 0.15.1 включительно)
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- сегментирование сети для ограничения доступа к уязвимому устройству;
- минимизация пользовательских привилегий;
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/infiniflow/ragflow/security/advisories/GHSA-3gqj-66qm-25jqhttps://swizzky.notion.site/ragflow-exesql-150ca6df7c03806989cefde915cf8e42https://github.com/infiniflow/ragflow/blob/v0.15.1/agent/component/exesql.py
Проверьте безопасность своего сайта и почты → Полная проверка домена