Vulnerabilities ›

CVE-2026-6587

Medium

CWE-918 — Weakness Type

                    Published: Apr 20, 2026                      ·  Modified: Apr 22, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A security flaw has been discovered in vibrantlabsai RAGAS up to 0.4.3. The affected element is the function _try_process_local_file/_try_process_url of the file src/ragas/metrics/collections/multi_modal_faithfulness/util.py of the component Collections Module. Performing a manipulation of the argument retrieved_contexts results in server-side request forgery. The attack can be initiated remotely. The exploit has been released to the public and may be used for attacks. The security patch for CVE-2025-45691 was applied to a different module only. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

CVE-2026-6587 is a server-side request forgery (SSRF) vulnerability in vibrantlabsai RAGAS up to version 0.4.3 affecting the Collections Module. The flaw allows remote attackers to manipulate the retrieved_contexts argument to perform unauthorized requests.

📄 Description (Arabic)

ثغرة SSRF في وحدة المجموعات من vibrantlabsai RAGAS تسمح للمهاجمين بمعالجة معامل retrieved_contexts لتنفيذ طلبات خادم غير مصرح بها. تم الإفراج عن الاستغلال للجمهور والمورد لم يستجب لإشعارات الكشف المبكر. الثغرة تؤثر على الإصدارات حتى 0.4.3 وتتطلب ترقية فورية.

🤖 ملخص تنفيذي (AI)

CVE-2026-6587 هو ثغرة في طلب الخادم من جانب الخادم (SSRF) في vibrantlabsai RAGAS حتى الإصدار 0.4.3 تؤثر على وحدة المجموعات. تسمح الثغرة للمهاجمين البعيدين بمعالجة حجة retrieved_contexts لتنفيذ طلبات غير مصرح بها.

🤖 AI Intelligence Analysis Analyzed: May 17, 2026 20:05

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1498 T1570

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade vibrantlabsai RAGAS to version 0.4.4 or later immediately. Implement input validation and sanitization for the retrieved_contexts parameter. Deploy network segmentation to restrict outbound connections from affected systems. Monitor for suspicious outbound requests from servers running RAGAS.

🔧 خطوات المعالجة (العربية)

قم بترقية vibrantlabsai RAGAS إلى الإصدار 0.4.4 أو أحدث على الفور. قم بتطبيق التحقق من صحة المدخلات والتطهير لمعامل retrieved_contexts. قم بنشر تقسيم الشبكة لتقييد الاتصالات الصادرة من الأنظمة المتأثرة. راقب الطلبات الصادرة المريبة من الخوادم التي تقوم بتشغيل RAGAS.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.7.3.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.PT-1

🟡 ISO 27001:2022

A.6.1.1 A.13.1.1 A.13.1.3

🔗 References & Sources 4

🔗

https://adithyanak.com/ragas-v0214-arbitrary-file-read-vulnerability

cna@vuldb.com

🔗

https://vuldb.com/submit/791088

cna@vuldb.com

🔗

https://vuldb.com/vuln/358222

cna@vuldb.com

🔗

https://vuldb.com/vuln/358222/cti

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-918

EPSS0.01%

Exploit No

Patch ✗ No

Published 2026-04-20

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-918

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6587

Introduce Yourself

Sign In Required