漏洞总结 漏洞概述 漏洞编号: Submit #791088 漏洞标题: Exploding Gradients ragas latest (commit 2b38724) Path Traversal / Server-Side Request Forgery (CWE-22 / CWE-918) 漏洞类型: 路径遍历 (Path Traversal) 和 服务端请求伪造 (Server-Side Request Forgery) 描述: 在 的 模块中存在一个不完整的修复。安全补丁 CVE-2025-45691 仅应用于 ,但 模块包含对相同图像处理的并行重新实现,该实现接收了零个安全控制。 影响范围 受影响文件: (行 123-210) 受影响函数: - : 打开任何文件路径,没有功能门控、不允许目录,且没有遍历检查,任何有效的文件路径都可以被读取。 - : 直接将 URL 传递给 ,没有 DNS 解析或 IP 验证,允许连接到 、 、 或任何内部地址。 注意: 直接导入并复用了这些易受攻击的函数。 修复方案 当前状态: 页面未提供具体的修复方案,仅指出需要修复 中的安全问题。 POC代码