CVE-2026-13509
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 — wyżej niż 21% wszystkich znanych CVE
Streszczenie
W RAGapp do wersji 0.1.5 wykryto podatność w funkcji FileHandler.upload_file/FileHandler.remove_file w pliku src/ragapp/backend/controllers/files.py. Luka umożliwia zdalne wykonanie ataku typu path traversal.
Ocena ryzyka
Atakujący może zdalnie odczytać lub nadpisać dowolne pliki w systemie, co może prowadzić do wycieku danych lub przejęcia kontroli nad aplikacją.
Rekomendacja
Należy natychmiast zaktualizować RAGapp do wersji zawierającej poprawkę po jej wydaniu lub zastosować tymczasowe zabezpieczenia, takie jak walidacja ścieżek plików.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been found in RAGapp up to 0.1.5. Affected is the function FileHandler.upload_file/FileHandler.remove_file of the file src/ragapp/backend/controllers/files.py of the component Knowledge File Handler. Such manipulation leads to path traversal. The attack can be executed remotely. The exploit has been disclosed to the public and may be used. The pull request to fix this issue awaits acceptance.

