Katalog CVE

CVE-2026-6587

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

W bibliotece RAGAS do wersji 0.4.3 odkryto podatność na fałszowanie żądań po stronie serwera (SSRF) w module Collections. Funkcje _try_process_local_file/_try_process_url w pliku util.py nieprawidłowo walidują argument retrieved_contexts, co umożliwia zdalnemu atakującemu wykonanie żądań do wewnętrznych zasobów. Exploit został opublikowany, a dostawca nie odpowiedział na zgłoszenie.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do skanowania wewnętrznej sieci, uzyskania dostępu do poufnych danych lub przeprowadzenia dalszych ataków na infrastrukturę organizacji.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę RAGAS do wersji powyżej 0.4.3, jeśli dostępna, lub zastosować tymczasowe obejście poprzez ograniczenie dostępu do funkcji przetwarzających konteksty oraz wdrożenie filtrowania adresów URL.

Oryginalny opis (angielski, źródło NVD)

A security flaw has been discovered in vibrantlabsai RAGAS up to 0.4.3. The affected element is the function _try_process_local_file/_try_process_url of the file src/ragas/metrics/collections/multi_modal_faithfulness/util.py of the component Collections Module. Performing a manipulation of the argument retrieved_contexts results in server-side request forgery. The attack can be initiated remotely. The exploit has been released to the public and may be used for attacks. The security patch for CVE-2025-45691 was applied to a different module only. The vendor was contacted early about this disclosure but did not respond in any way.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS