Plataforma
python
Componente
ragflow
Corregido en
0.23.2
CVE-2026-24770 describe una vulnerabilidad de Ejecución Remota de Código (RCE) en RAGFlow, un motor RAG de código abierto. Esta vulnerabilidad, conocida como "Zip Slip", permite a un atacante sobrescribir archivos arbitrarios en el servidor, lo que podría resultar en la toma de control del sistema. La vulnerabilidad afecta a versiones de RAGFlow hasta la 0.23.1. Se ha publicado una corrección en la versión 0.23.2.
La vulnerabilidad Zip Slip en RAGFlow permite a un atacante explotar la forma en que el componente MinerUParser extrae archivos ZIP. Al proporcionar un archivo ZIP malicioso con nombres de archivo cuidadosamente diseñados, el atacante puede manipular la ruta de extracción y sobrescribir archivos fuera del directorio previsto. Esto puede llevar a la ejecución de código arbitrario en el servidor, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. Un atacante podría, por ejemplo, sobrescribir archivos de configuración críticos o incluso el ejecutable principal de RAGFlow, obteniendo control total sobre el sistema. La severidad crítica de esta vulnerabilidad (CVSS 9.8) refleja el alto riesgo de explotación y el potencial de impacto devastador.
Esta vulnerabilidad ha sido publicada públicamente el 27 de enero de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad Zip Slip la hace susceptible a la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations deploying RAGFlow in production environments, particularly those using it to process data from untrusted sources, are at significant risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a malicious ZIP file uploaded by one user could potentially compromise the entire system.
• python / server:
import zipfile
import os
def check_zip_extraction(zip_file_path, target_directory):
try:
with zipfile.ZipFile(zip_file_path, 'r') as zip_ref:
zip_ref.extractall(target_directory)
return False # Extraction successful (potentially vulnerable)
except Exception as e:
return True # Extraction failed (likely protected)
# Example usage (replace with actual paths)
zip_file = '/path/to/suspicious.zip'
target_dir = '/path/to/extraction_directory'
if not check_zip_extraction(zip_file, target_dir):
print(f"WARNING: Potential Zip Slip vulnerability detected. Suspicious ZIP file extracted successfully.")
else:
print("ZIP file extraction failed as expected.")• linux / server:
find /var/log/ragflow -type f -name '*.zip' -mtime -7 # Look for recent ZIP files
lsof -p $(pidof ragflow) | grep '/path/to/ragflow/mineru_server_url' # Check connections to external URLsdisclosure
patch
Estado del Exploit
EPSS
0.92% (76% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-24770 es actualizar RAGFlow a la versión 0.23.2 o posterior, que incluye una corrección para la vulnerabilidad Zip Slip. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es validar y sanitizar los nombres de archivo extraídos de los archivos ZIP antes de realizar la extracción. Esto puede incluir la eliminación de componentes de ruta relativa (..), la limitación de la longitud de los nombres de archivo y la verificación de que los nombres de archivo extraídos se encuentran dentro de un directorio esperado. Además, se recomienda restringir el acceso al componente MinerUParser y monitorear los registros del sistema en busca de actividades sospechosas relacionadas con la extracción de archivos ZIP. Después de la actualización, confirme la corrección revisando los registros de extracción de archivos ZIP y verificando que los nombres de archivo se validan correctamente.
Actualice la biblioteca RAGFlow a una versión posterior a 0.23.1. Esto solucionará la vulnerabilidad Zip Slip. Asegúrese de verificar la integridad de las nuevas versiones antes de implementarlas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24770 is a critical Remote Code Execution vulnerability in RAGFlow versions up to 0.23.1, allowing attackers to overwrite files via malicious ZIP archives.
You are affected if you are using RAGFlow version 0.23.1 or earlier. Upgrade to 0.23.2 to resolve the issue.
Upgrade RAGFlow to version 0.23.2 or later. If immediate upgrade isn't possible, implement temporary workarounds like restricting external URLs and file access controls.
While no widespread exploitation has been confirmed, the vulnerability's severity and ease of exploitation make it a likely target. Monitor your systems closely.
Refer to the RAGFlow project's official repository and release notes for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.