CVE-2025-51462

Nome do Software Vulnerável e Versões Afetadas RAGFlow versão 0.17.2

Descrição Existe uma vulnerabilidade de Cross-site Scripting (XSS) armazenado na função api.apps.dialog app.set dialog. Isso permite que atacantes remotos executem código JavaScript arbitrário por meio de entrada manipulada no campo assistant greeting. A entrada é armazenada sem sanitização e renderizada usando um componente markdown com rehype-raw.

Recomendações Atualize para uma versão mais recente que contenha uma correção para este problema. Como medida temporária, considere sanitizar a entrada do assistant greeting antes de armazená-la.