Katalog CVE

Aktywnie wykorzystywana w atakach

Langflow Missing Authentication Vulnerability

Langflow - Langflow · Figuruje w katalogu CISA KEV od 2025-05-05. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2025-3248

KrytyczneCVSS 9.8KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
99.99%

Percentyl 100 - wyżej niż 100% wszystkich znanych CVE

Streszczenie

Podatność w Langflow przed wersją 1.3.0 umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wstrzyknięcie kodu przez endpoint /api/v1/validate/code. Wykorzystanie podatności pozwala na wykonanie dowolnego kodu na serwerze.

Ocena ryzyka

Ryzyko dla organizacji obejmuje całkowite przejęcie kontroli nad serwerem, kradzież danych lub zakłócenie działania usługi bez konieczności uwierzytelnienia.

Rekomendacja

Należy natychmiast zaktualizować Langflow do wersji 1.3.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, zablokuj dostęp do endpointu /api/v1/validate/code dla niezaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

Langflow versions prior to 1.3.0 are susceptible to code injection in the /api/v1/validate/code endpoint. A remote and unauthenticated attacker can send crafted HTTP requests to execute arbitrary code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS