CRITICAL🇬🇧 English

CVE-2024-12433

RCE w Infiniflow RagFlow — statyczny klucz AuthKey i niebezpieczna deserializacja pickle

CVSS 9.8v3.0pub. 2025-03-20upd. 2025-07-14

Podatność w Infiniflow RagFlow v0.12.0 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) na serwerze. Wynika ona z zastosowania niezmiennego, wbudowanego w kod klucza uwierzytelniającego oraz niebezpiecznej deserializacji danych za pomocą modułu pickle.

Pokaż oryginał (EN)

A vulnerability in infiniflow/ragflow versions v0.12.0 allows for remote code execution. The RPC server in RagFlow uses a hard-coded AuthKey 'authkey=b'infiniflow-token4kevinhu'' which can be easily fetched by attackers to join the group communication without restrictions. Additionally, the server processes incoming data using pickle deserialization via `pickle.loads()` on `connection.recv()`, making it vulnerable to remote code execution. This issue is fixed in version 0.14.0.

🤖 Analiza AI
Jak działa

Serwer RPC w RagFlow używa sztywno zakodowanego klucza AuthKey o wartości 'infiniflow-token4kevinhu', który atakujący może łatwo pozyskać i wykorzystać do dołączenia do komunikacji grupowej bez żadnych ograniczeń. Po uzyskaniu dostępu atakujący wysyła spreparowane dane do serwera, które są następnie przetwarzane funkcją `pickle.loads()` na danych odebranych przez `connection.recv()`. Deserializacja niezaufanych danych za pomocą pickle (CWE-502) pozwala na osadzenie w ładunku dowolnego kodu wykonywanego po stronie serwera.

Skutki

Nieuwierzytelniony atakujący zdalny może wykonać dowolny kod na serwerze, co prowadzi do pełnego przejęcia systemu, kradzieży danych, naruszenia poufności, integralności i dostępności usługi.

Mitygacja

Należy zaktualizować Infiniflow RagFlow do wersji 0.14.0, w której problem został naprawiony zgodnie z informacją producenta.

Kogo dotyczy

Infiniflow RagFlow w wersji v0.12.0

Uwagi

Podatność zgłoszona za pośrednictwem platformy huntr.com. Szczegóły dostępne pod adresem: https://huntr.com/bounties/8a1465af-09e4-42af-9e54-0b70e7c87499. Poprawka wprowadzona w commicie 49494d4e3c8f06a5e52cf1f7cce9fa03cadcfbf6.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Infiniflow Ragflow

    APP
    Infiniflow
    0.12.0 – 0.14.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2026-24770CRITICAL9.8PL ✓ten sam produkt

Zip Slip RCE w RAGFlow — nadpisanie plików przez złośliwe archiwum ZIP

CVE-2025-48187CRITICAL9.1PL ✓ten sam produkt

Przejęcie konta w RAGFlow poprzez brute-force kodów weryfikacyjnych

CVE-2024-12450CRITICAL9.8PL ✓ten sam produkt

Infiniflow RAGflow: SSRF, Arbitrary File Read i RCE w funkcji web_crawl

CVE-2026-28797HIGH8.7ten sam produkt

RAGFlow is an open-source RAG (Retrieval-Augmented Generation) engine. In versions 0.24.0 and prior, a Server-...

CVE-2025-69286HIGH8.9ten sam produkt

RAGFlow is an open-source RAG (Retrieval-Augmented Generation) engine. In versions prior to 0.22.0, the use of...