CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-0769

Critical
Published: Translated: NVD NIST

Summary

Podatność CVE-2026-0769 dotyczy funkcji eval_custom_component_code w Langflow, która pozwala na zdalne wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji łańcucha dostarczonego przez użytkownika przed jego użyciem do wykonania kodu Pythona.

Risk Assessment

Atakujący może wykorzystać tę podatność do wykonania kodu w kontekście bieżącego procesu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Brak wymogu uwierzytelnienia ułatwia przeprowadzenie ataku.

Recommendation

Zaleca się natychmiastowe zaktualizowanie Langflow do najnowszej wersji, która naprawia tę podatność. Należy również wdrożyć dodatkowe mechanizmy walidacji danych wejściowych w aplikacji.

Original NVD description (English source)

Langflow eval_custom_component_code Eval Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Langflow. Authentication is not required to exploit this vulnerability. The specific flaw exists within the implementation of eval_custom_component_code function. The issue results from the lack of proper validation of a user-supplied string before using it to execute python code. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-26972.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS