CVE-2024-12433

Nome do Software Vulnerável e Versões Afetadas infiniflow/ragflow versões v0.12.0

Descrição Uma vulnerabilidade permite a execução remota de código. O servidor RPC no RagFlow utiliza uma AuthKey hard-coded, que pode ser facilmente obtida por atacantes para ingressar na comunicação em grupo sem restrições. O servidor processa dados de entrada utilizando deserialização pickle via pickle.loads() em connection.recv(), tornando-o vulnerável à execução remota de código.

Recomendações Para infiniflow/ragflow versão v0.12.0, atualize para a versão 0.14.0 para resolver o problema. Como solução temporária, considere restringir o acesso ao servidor RPC para minimizar o risco de exploração. Evite utilizar a função pickle.loads() em entradas não confiáveis até que o problema seja resolvido.