Katalog CVE

CVE-2026-42867

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Langflow przed wersją 1.9.0 zawiera podatność na przechodzenie do dowolnych ścieżek (Path Traversal) w API baz wiedzy (POST /api/v1/knowledge_bases). Atakujący z uwierzytelnieniem może wykorzystać brak walidacji nazw baz wiedzy do tworzenia katalogów i zapisywania plików w dowolnym miejscu systemu plików serwera.

Ocena ryzyka

Ryzyko obejmuje możliwość nieautoryzowanego zapisu plików, co może prowadzić do przejęcia kontroli nad serwerem, modyfikacji krytycznych plików systemowych lub uruchomienia złośliwego kodu.

Rekomendacja

Należy niezwłocznie zaktualizować Langflow do wersji 1.9.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do API baz wiedzy tylko dla zaufanych użytkowników i zastosować dodatkowe mechanizmy walidacji ścieżek.

Oryginalny opis (angielski, źródło NVD)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.0, Langflow is vulnerable to Path Traversal in the Knowledge Bases API (POST /api/v1/knowledge_bases). This occurs because user-supplied knowledge base names are used directly to create file paths without proper sanitization or containment checks. An authenticated attacker can exploit this flaw to create directories and write files anywhere on the server's filesystem. This vulnerability is fixed in 1.9.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS