技术说明
RAGFlow提示生成器(rag/prompts/generator.py)中的Jinja2服务端模板注入(SSTI)漏洞允许任何已认证用户——包括正常注册的免费账户——在主机服务器上执行任意OS命令。利用此漏洞只需要用户创建一个包含DuckDuckGo + LLM组件链的Canvas工作流;仅导入就足以触发代码执行。CVSS评分为9.9(严重)。RAGFlow是一个拥有超过52,000个GitHub星标的开源RAG引擎。
攻击途径
已认证的web用户创建或导入精心构造的Canvas工作流;提示生成器在非沙盒环境中渲染Jinja2模板,允许通过Python的`os.popen`经由Jinja2的`cycler.__init__.__globals__`链进行OS命令注入。不需要管理员权限——任何注册用户即可。
受影响系统
RAGFlow版本0.24.0及更早版本(开源RAG引擎,GitHub上的infiniflow/ragflow)。仅限自托管部署。云托管部署可能因提供商配置而有所不同。
缓解措施
升级到已修补的版本(参见GHSA-wpg4-h5g2-jxm6)。如果无法立即升级,请禁止不受信任用户创建Canvas工作流,对RAGFlow服务器实施网络级隔离,并应用最小权限原则,确保RAGFlow进程不以root身份运行。检查服务器日志中来自ragflow进程的异常子进程调用。