CVE-2025-25282

Nome do Software Vulnerável e Versões Afetadas Versões do RAGFlow <= 0.13.0

Descrição O RAGFlow é um mecanismo RAG (Retrieval-Augmented Generation) de código aberto baseado em compreensão profunda de documentos. Um usuário autenticado pode explorar a vulnerabilidade de Referência Direta a Objeto Inseguro (IDOR), o que pode levar ao acesso não autorizado entre tenants. Isso pode resultar na listagem de contas de usuário de um tenant e na adição de contas de usuário em outros tenants. O problema pode ser explorado via endpoints de API como "GET //user/list" e "POST //user".

Recomendações Para as versões do RAGFlow <= 0.13.0, recomenda-se que os usuários entrem em contato com os mantenedores do projeto para coordenar uma correção, uma vez que esta questão ainda não foi corrigida. Como medida temporária, considere restringir o acesso aos endpoints de API vulneráveis, como "GET //user/list" e "POST //user", para minimizar o risco de exploração.