Plataforma
python
Componente
infiniflow/ragflow
Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en ragflow, específicamente en la función addllm del archivo llmapp.py. Esta falla permite a un atacante ejecutar código arbitrario al manipular los parámetros llmfactory y llmname sin una validación adecuada. La vulnerabilidad afecta a versiones de ragflow hasta la última disponible y requiere atención inmediata para evitar compromisos.
La vulnerabilidad RCE en ragflow permite a un atacante inyectar y ejecutar código malicioso en el sistema donde se ejecuta la aplicación. Esto puede resultar en la toma de control completa del servidor, robo de datos confidenciales, modificación de la configuración del sistema o incluso el uso del servidor como punto de partida para ataques a otros sistemas en la red. La falta de validación de entrada en la función add_llm facilita la explotación, ya que un atacante puede proporcionar valores maliciosos que se interpretan como comandos del sistema operativo. La ejecución de código arbitrario representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas afectados.
Esta vulnerabilidad ha sido publicada recientemente (2024-10-19) y su severidad es alta (CVSS 8.8). Aunque no se ha confirmado la explotación activa en campañas conocidas, la naturaleza de la vulnerabilidad RCE la convierte en un objetivo atractivo para los atacantes. Es importante monitorear los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. Se recomienda verificar si la vulnerabilidad ha sido agregada al KEV de CISA.
Organizations deploying ragflow in production environments, particularly those with user-facing interfaces that accept LLM factory configurations, are at significant risk. Development teams using ragflow for rapid prototyping or experimentation should also prioritize patching to prevent accidental exposure of vulnerable code. Shared hosting environments where multiple users can potentially influence application configuration are especially vulnerable.
• python / application:
import os
import subprocess
def check_ragflow_version():
try:
result = subprocess.run(['pip', 'show', 'ragflow'], capture_output=True, text=True, check=True)
version = result.stdout.split('Version: ')[1].split('\n')[0]
if version <= '0.11.0':
print(f"Vulnerable version detected: {version}")
else:
print(f"Safe version detected: {version}")
except subprocess.CalledProcessError:
print("ragflow not installed.")
check_ragflow_version()• linux / server:
ps aux | grep -i ragflow• generic web:
Inspect HTTP requests to the addllm endpoint for suspicious values in the llmfactory parameter. Look for unusual characters or patterns that could indicate an attempt to inject malicious code.
disclosure
Estado del Exploit
EPSS
2.97% (86% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la última versión de ragflow, donde se espera que se haya corregido el problema. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las entradas llmfactory y llmname en la función addllm. Esto debe incluir una lista blanca de valores permitidos y la denegación de cualquier entrada que no coincida con esa lista. Además, se recomienda revisar y fortalecer las políticas de seguridad del sistema para limitar el acceso y los privilegios de las cuentas de usuario. Después de la actualización, confirme que la función addllm está funcionando correctamente y que las entradas se validan adecuadamente.
Actualice la biblioteca infiniflow/ragflow a una versión posterior a 0.11.0 que corrija la vulnerabilidad de ejecución remota de código. Verifique las notas de la versión para confirmar que la vulnerabilidad CVE-2024-10131 ha sido abordada. Si no hay una versión corregida disponible, considere implementar validación y sanitización de entradas en la función `add_llm` para mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10131 is a critical RCE vulnerability in infiniflow/ragflow versions up to 0.11.0. It allows attackers to execute arbitrary code by manipulating input parameters, potentially leading to system compromise.
If you are using ragflow version 0.11.0 or earlier, you are potentially affected by this vulnerability. Immediately assess your environment and apply the recommended mitigations.
The recommended fix is to upgrade to a patched version of ragflow as soon as it becomes available. Until then, implement strict input validation on user-supplied data.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a high probability of active exploitation. Monitor your systems closely.
Refer to the infiniflow/ragflow project's official repository and communication channels for updates and advisories regarding CVE-2024-10131.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.