CVE-2024-12870

Nome do Software Vulnerável e Versões Afetadas infiniflow/ragflow versão cec2080

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado, permitindo que um invasor faça upload de arquivos HTML/XML que podem hospedar payloads arbitrários de JavaScript. Esses arquivos são servidos com o tipo de conteúdo 'application/xml', que é renderizado automaticamente pelos navegadores. Isso pode levar à execução de JavaScript arbitrário no contexto do navegador do usuário, potencialmente permitindo que invasores roubem cookies e obtenham acesso não autorizado a arquivos e recursos do usuário. O problema não requer autenticação, tornando-o acessível a qualquer pessoa com acesso de rede à instância.

Recomendações Para a versão cec2080, considere restringir o acesso ao recurso de upload de arquivos até que um patch esteja disponível, e evite servir arquivos enviados pelo usuário com o tipo de conteúdo 'application/xml' para minimizar o risco de exploração. Como solução temporária, considere desativar a renderização de arquivos XML no navegador ou restringir a execução de payloads de JavaScript provenientes de arquivos enviados.