CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33309

Critical
Published: Translated: NVD NIST

Summary

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. Wersje od 1.2.0 do 1.8.1 mają lukę, która omija poprawkę dla CVE-2025-68478, co prowadzi do nierozwiązania podstawowego problemu architektonicznego w `LocalStorageService`. W wyniku braku odpowiednich kontroli, punkt końcowy `POST /api/v2/files/` jest podatny na zapis dowolnych plików.

Risk Assessment

Luka ta pozwala uwierzytelnionym atakującym na zapis plików w dowolnym miejscu na systemie, co może prowadzić do zdalnego wykonania kodu (RCE). To stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację do wersji 1.9.0, która zawiera poprawioną wersję zabezpieczeń. Należy również przeprowadzić audyt bezpieczeństwa, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

Langflow is a tool for building and deploying AI-powered agents and workflows. Versions 1.2.0 through 1.8.1 have a bypass of the patch for CVE-2025-68478 (External Control of File Name), leading to the root architectural issue within `LocalStorageService` remaining unresolved. Because the underlying storage layer lacks boundary containment checks, the system relies entirely on the HTTP-layer `ValidatedFileName` dependency. This defense-in-depth failure leaves the `POST /api/v2/files/` endpoint vulnerable to Arbitrary File Write. The multipart upload filename bypasses the path-parameter guard, allowing authenticated attackers to write files anywhere on the host system, leading to Remote Code Execution (RCE). Version 1.9.0 contains an updated fix.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS