CVE-2026-55446
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. Przed wersją 1.0.19, atakujący mógł wysłać żądanie /api/v1/files/upload/ bez tokena uwierzytelniającego lub ciasteczek, co prowadziło do zablokowania aplikacji langflow dla wszystkich użytkowników na czas nieokreślony.
Ocena ryzyka
Podatność ta może prowadzić do całkowitego zablokowania aplikacji, co wpływa na dostępność usług dla użytkowników. Organizacje mogą doświadczyć przestojów i utraty wydajności.
Rekomendacja
Zaleca się aktualizację do wersji 1.0.19 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania i ograniczania żądań do API.
Oryginalny opis (angielski, źródło NVD)
Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.0.19, an attacker can send a /api/v1/files/upload/ request without any authentication token/cookies and abuse a very long multipart form boundary to make the langflow app unusable for all users for an indefinite amount of time. This vulnerability is fixed in 1.0.19.

