CVE-2026-10140
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach 1.0.0 do 1.10.0 w trybie głosowym nieprawidłowo zarządza współdzielonym stanem, co umożliwia ponowne wykorzystanie klientów API pomiędzy dzierżawcami. Uwierzytelniony atakujący może manipulować stanem pamięci podręcznej, powodując przetwarzanie żądań innych użytkowników z użyciem nieprawidłowych poświadczeń API, co prowadzi do błędnego przypisania kosztów i odpowiedzialności między dzierżawcami.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowane użycie zasobów API przez innych dzierżawców, co może skutkować nieprawidłowym obciążeniem kosztami oraz utratą kontroli nad rozliczeniami i audytem.
Rekomendacja
Należy niezwłocznie zaktualizować IBM Langflow OSS do wersji 1.10.1 lub nowszej, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji zaleca się wyłączenie trybu głosowego lub ograniczenie dostępu do niego tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of API clients across tenant boundaries. An authenticated attacker can manipulate cache state to cause requests from other users to be processed using incorrect upstream API credentials, leading to cross-tenant billing and accountability misattribution.

