Informazioni sul CVE-2025-27135
RAGFlow SQL Injection vulnerability
CWE ID: CWE-89
Base Score (CVSS): 8.9
CVE: CVE-2025-27135
Descrizione: RAGFlow è un motore di generazione di testo basato su RAG (Retrieval-Augmented Generation) open-source. Versioni 0.15.1 e precedenti sono vulnerabili a SQL injection. Il componente ExeSQL estrae la query SQL dall’input e la invia direttamente alla query del database. A tempo della pubblicazione, non è disponibile una versione parcheggiata.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Punteggio Base (calcolato da AziendaSicura): 0.0 (None)
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/infiniflow/ragflow/security/advisories/GHSA-3gqj-66qm-25jq
- https://github.com/infiniflow/ragflow/blob/v0.15.1/agent/component/exesql.py
- https://swizzky.notion.site/ragflow-exesql-150ca6df7c03806989cefde915cf8e42?pvs=4
Prodotti interessati
- infiniflow – ragflow
Relazioni con altri prodotti
Produttore:infiniflow
Prodotto: ragflow
Anno: 2025
CWE: CWE-89
CVSS: 8.9