В системе мониторинга уязвимостей БДУ зафиксирована критическая уязвимость BDU:2025-14507 в популярной RAG-платформе RAGFlow. Проблема затрагивает компонент ExeSQL и связана с классической SQL-инъекцией, позволяющей злоумышленникам получать полный контроль над защищаемыми документами. Эксперты присвоили уязвимости максимальные оценки по шкале CVSS, подтвердив высокие риски для конфиденциальности корпоративных данных.
Детали уязвимости
Уязвимость существует в версиях RAGFlow до 0.15.1 включительно. RAGFlow представляет собой открытую платформу для вопросно-ответного взаимодействия с документами, которая использует технологию Retrieval-Augmented Generation (извлечение и дополнение генерации). Компонент ExeSQL отвечает за выполнение SQL-запросов к базам данных, однако разработчики не реализовали должную валидацию пользовательского ввода.
Технический анализ показывает, что уязвимость соответствует CWE-89 (непринятие мер по защите структуры запроса SQL). Проще говоря, злоумышленник может модифицировать SQL-запросы через пользовательский ввод. Следовательно, это создает угрозу для конфиденциальности, целостности и доступности информации, хранящейся в системе.
Оценки по системе CVSS демонстрируют исключительную опасность данной уязвимости. Во-первых, базовая оценка CVSS 2.0 достигает максимальных 10 баллов. Во-вторых, CVSS 3.0 присваивает 9.8 баллов, что соответствует критическому уровню. Наконец, по обновленной CVSS 4.0 уязвимость получает 8.9 баллов и классифицируется как высокоопасная. Все векторы атаки предполагают удаленную эксплуатацию без необходимости аутентификации.
Производитель программного обеспечения подтвердил наличие уязвимости и уже выпустил исправление. При этом важно отметить, что в открытом доступе уже существуют рабочие эксплойты. Соответственно, злоумышленники могут активно использовать эту уязвимость для проведения атак.
Основным способом устранения является обновление RAGFlow до версии, следующей за 0.15.1. Тем временем, для организаций, которые не могут немедленно обновиться, рекомендуются компенсирующие меры. В частности, следует использовать межсетевые экраны для ограничения удаленного доступа. Кроме того, эффективным решением становится сегментирование сети для изоляции уязвимых систем. Дополнительно специалисты советуют минимизировать пользовательские привилегии и применять WAF (межсетевой экран уровня приложений) для фильтрации вводимых данных.
Уязвимость получила идентификатор CVE-2025-27135 в общей системе нумерации. Более того, производитель опубликовал детальное описание проблемы в своем репозитории на GitHub. Для изучения технических деталей исследователи могут обратиться к исходному коду компонента ExeSQL.
Эксперты по кибербезопасности подчеркивают, что SQL-инъекции остаются одним из наиболее распространенных векторов атак на веб-приложения. Несмотря на то, что методы защиты от таких атак хорошо известны, разработчики продолжают допускать подобные ошибки. Особенно тревожной является ситуация, когда уязвимость обнаруживается в компонентах, работающих с конфиденциальными данными.
RAG-системы активно внедряются в бизнес-процессы для анализа корпоративной документации. Безусловно, утечка таких данных может привести к серьезным финансовым и репутационным потерям. Поэтому организациям следует немедленно проверить используемые версии RAGFlow и принять меры по обновлению или защите уязвимых систем.
В настоящее время уязвимость считается устраненной производителем. Однако реальная безопасность зависит от скорости распространения обновлений среди конечных пользователей. Регулярный мониторинг уязвимостей и своевременное обновление программного обеспечения остаются ключевыми практиками для обеспечения кибербезопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-14507
- https://www.cve.org/CVERecord?id=CVE-2025-27135
- https://github.com/infiniflow/ragflow/security/advisories/GHSA-3gqj-66qm-25jq
- https://github.com/infiniflow/ragflow/blob/v0.15.1/agent/component/exesql.py
- https://swizzky.notion.site/ragflow-exesql-150ca6df7c03806989cefde915cf8e42
