Vulnerabilidad en RAGFlow (CVE-2025-25282)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/02/2025
Última modificación:
16/07/2025
Descripción
RAGFlow es un motor RAG (Retrieval-Augmented Generation) de código abierto basado en una comprensión profunda de los documentos. Un usuario autenticado puede explotar la vulnerabilidad de referencia directa a objetos inseguros (IDOR) que puede provocar un acceso no autorizado entre inquilinos (enumerar cuentas de usuario de inquilinos, agregar una cuenta de usuario a otro inquilino). Acceso no autorizado entre inquilinos: enumerar usuarios de otros inquilinos (por ejemplo, a través de GET //user/list), agregar una cuenta de usuario a otro inquilino (POST //user). Este problema aún no se ha solucionado. Se recomienda a los usuarios que se pongan en contacto con los encargados del mantenimiento del proyecto para coordinar una solución.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:infiniflow:ragflow:*:*:*:*:*:*:*:* | 0.13.0 (incluyendo) | 0.14.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página