CVE-2024-12779

Nome do Software Vulnerável e Versões Afetadas infiniflow/ragflow versão 0.12.0

Descrição Existe uma vulnerabilidade de Falsificação de Solicitação no Lado do Servidor (SSRF), permitindo que atacantes especifiquem uma URL arbitrária como api base ao adicionar um modelo OPENAITTS. Isso pode resultar em acesso não autorizado a recursos web internos através dos endpoints POST /v1/llm/add llm e POST /v1/conversation/tts.

Recomendações Para o infiniflow/ragflow versão 0.12.0, como solução temporária, considere restringir o acesso aos endpoints POST /v1/llm/add llm e POST /v1/conversation/tts até que uma correção esteja disponível. Evite utilizar a variável api base nos endpoints de API afetados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.