CVE-2026-45312

Nome do Software Vulnerável e Versões Afetadas RAGFlow versões anteriores a 0.24.1

Description Uma Injeção de Template no Lado do Servidor (SSTI) existe no gerador de prompts localizado em rag/prompts/generator.py. Este problema permite que usuários autenticados executem comandos arbitrários do sistema operacional no servidor. Um invasor pode disparar isso registrando uma conta normal e criando um fluxo de trabalho no Canvas utilizando uma cadeia de componentes DuckDuckGo e LLM. SSTI é uma vulnerabilidade onde um invasor pode injetar código malicioso em um template, que é então executado pelo mecanismo de template do servidor.

Recommendations Atualize para uma versão posterior a 0.24.0.