RAGFlow SQL Injection vulnerability 漏洞信息(CVE-2025-27135)

一、漏洞 CVE-2025-27135 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

RAGFlow SQL注入漏洞

来源：AIGC 神龙大模型

漏洞描述信息

RAGFlow 是一个开源的 RAG（检索增强生成）引擎。0.15.1 及之前版本存在 SQL 注入漏洞。ExeSQL 组件会从输入中提取 SQL 语句，并直接将其发送到数据库查询中。截至发布时间，尚无修复版本可用。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

来源：AIGC 神龙大模型

漏洞标题

RAGFlow SQL Injection vulnerability

来源：美国国家漏洞数据库 NVD

漏洞描述信息

RAGFlow is an open-source RAG (Retrieval-Augmented Generation) engine. Versions 0.15.1 and prior are vulnerable to SQL injection. The ExeSQL component extracts the SQL statement from the input and sends it directly to the database query. As of time of publication, no patched version is available.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-27135 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-27135 的情报信息

标题： ragflow/agent/component/exesql.py at v0.15.1 · infiniflow/ragflow · GitHub -- 🔗来源链接

标签： x_refsource_MISC
标题： There is an SQL injection vulnerability in ragflow. · Advisory · infiniflow/ragflow · GitHub -- 🔗来源链接

标签： x_refsource_CONFIRM
标题： ragflow-exesql -- 🔗来源链接

标签： x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-27135

一、 漏洞 CVE-2025-27135 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-27135 的公开POC

三、漏洞 CVE-2025-27135 的情报信息

一、漏洞 CVE-2025-27135 基础信息