Wangyihang

RAGFlow is an open-source RAG (Retrieval-Augmented Generation) engine. In versions 0.24.0 and prior, a Server-Side Template Injection (SSTI) vulnerability exists in RAGFlow's Agent workflow Text Processing (StringTransform) and Message components. These components use Python's jinja2.Template (unsandboxed) to render user-supplied templates, allowing any authenticated user to execute arbitrary operating system commands on the server. At time of publication, there are no publicly available patches.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Atheos anteriores à v600 **Descrição** O Atheos é um IDE em nuvem baseado em navegador e auto-hospedado. O problema está relacionado à falta de validação adequada dos parâmetros `$path` e `$target` em vários componentes, permitindo que um atacante leia, modifique ou execute arquivos arbitrários no servidor. Isso pode ser explorado por meio de vários vetores de ataque presentes em múltiplos arquivos PHP. **Recomendações** Para versões anteriores à v600, atualize para a v600 para corrigir o problema. Como solução temporária, considere restringir o acesso aos parâmetros vulneráveis `$path` e `$target` para minimizar o risco de exploração.