Penjelasan teknis
Kerentanan Jinja2 Server-Side Template Injection (SSTI) di prompt generator RAGFlow (rag/prompts/generator.py) memungkinkan pengguna terautentikasi apa pun — termasuk akun gratis yang terdaftar normal — untuk menjalankan perintah OS sewenang-wenang di server host. Eksploitasi hanya memerlukan pengguna membuat alur kerja Canvas dengan rantai komponen DuckDuckGo + LLM; impor saja cukup untuk memicu eksekusi kode. Skor CVSS adalah 9.9 (Kritis). RAGFlow adalah mesin RAG sumber terbuka dengan lebih dari 52.000 bintang GitHub.
Vektor serangan
Pengguna web terautentikasi membuat atau mengimpor alur kerja Canvas yang dirancang; generator prompt merender template Jinja2 tanpa sandbox, memungkinkan injeksi perintah OS melalui `os.popen` Python melalui rantai Jinja2 `cycler.__init__.__globals__`. Tidak memerlukan hak istimewa administrator — pengguna terdaftar apa pun sudah cukup.
Sistem yang terdampak
Versi RAGFlow 0.24.0 dan lebih awal (mesin RAG sumber terbuka, infiniflow/ragflow di GitHub). Hanya penyebaran self-hosted. Penyebaran yang dikelola cloud dapat bervariasi menurut konfigurasi penyedia.
Mitigasi
Tingkatkan ke versi yang dipatch (lihat GHSA-wpg4-h5g2-jxm6). Jika upgrade segera tidak memungkinkan, nonaktifkan pembuatan alur kerja Canvas oleh pengguna yang tidak terpercaya, terapkan isolasi tingkat jaringan untuk server RAGFlow, dan terapkan prinsip hak istimewa paling sedikit sehingga proses RAGFlow tidak berjalan sebagai root. Tinjau log server untuk penerusan subprocess yang tidak biasa dari proses ragflow.