1  info:
 2    name: ragflow
 3    cve: CVE-2024-12871
 4    summary: Ragflow中的XSS漏洞允许会话劫持和数据泄露
 5    details: |
 6      infiniflow/ragflow版本0.12.0中的一个XSS漏洞允许攻击者将恶意PDF文件上传到知识库。
 7      当该文件在Ragflow中查看时，有效载荷将在用户浏览器的上下文中执行。这可能导致会话劫持、
 8      数据泄露或代表受害者执行未经授权的操作，从而危害敏感用户数据并影响整个应用程序的完整性。
 9    cvss: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
10    severity: MEDIUM
11    security_advise: |
12      1. 升级到Ragflow版本0.12.1或更高版本。
13      2. 实施严格的文件上传验证，以防止恶意PDF上传。
14      3. 定期审查并修补Ragflow应用程序中发现的任何漏洞。
15  rule: version < "0.12.1"
16  references:
17    - https://nvd.nist.gov/vuln/detail/CVE-2024-12871
18    - https://huntr.com/bounties/7903945c-2839-4dd5-9d40-9ef47fe53118