Katalog CVE

CVE-2026-0769

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność CVE-2026-0769 dotyczy funkcji eval_custom_component_code w Langflow, która pozwala na zdalne wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji łańcucha dostarczonego przez użytkownika przed jego użyciem do wykonania kodu Pythona.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania kodu w kontekście bieżącego procesu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu. Brak wymogu uwierzytelnienia ułatwia przeprowadzenie ataku.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie Langflow do najnowszej wersji, która naprawia tę podatność. Należy również wdrożyć dodatkowe mechanizmy walidacji danych wejściowych w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Langflow eval_custom_component_code Eval Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Langflow. Authentication is not required to exploit this vulnerability. The specific flaw exists within the implementation of eval_custom_component_code function. The issue results from the lack of proper validation of a user-supplied string before using it to execute python code. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-26972.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS