CVE-2026-10560
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera brak uwierzytelniania w endpointach /api/v1/build_public_tmp/, co pozwala nieuwierzytelnionemu atakującemu na odczyt danych zdarzeń budowania lub anulowanie zadań przy użyciu prawidłowego identyfikatora zadania, prowadząc do ujawnienia informacji i odmowy usługi.
Ocena ryzyka
Ryzyko dla organizacji obejmuje potencjalne ujawnienie wrażliwych danych związanych z procesami budowania oraz możliwość zakłócenia działania systemu poprzez anulowanie zadań, co może wpłynąć na ciągłość operacji.
Rekomendacja
Zaleca się natychmiastową aktualizację IBM Langflow OSS do wersji 1.9.7 lub nowszej, która usuwa tę podatność, oraz wdrożenie uwierzytelniania dla wszystkich endpointów API.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.9.6 contains a missing authentication vulnerability in /api/v1/build_public_tmp/ endpoints that allows an unauthenticated attacker to read build event data or cancel jobs using a valid job identifier, resulting in information disclosure and denial of service.

