CVE-2026-55447
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. Przed wersją 1.9.2, atakujący mógł kontrolować pliki przetwarzane przez RAG, co pozwalało na odczyt dowolnego pliku z systemu plików za pomocą ścieżki bezwzględnej.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do wrażliwych danych na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 1.9.2 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa systemu.
Oryginalny opis (angielski, źródło NVD)
Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.2, by controlling a files that are digested into the RAG, an attacker can direct the node to read any file on the file-system by absolute path. All components based on BaseFileComponent are vulnerable to the vulnerability. This includes Docling (DoclingInlineComponent), Docling Serve, DoclingRemoteComponent), Read File (FileComponent), NVIDIA Retriever Extraction (NvidiaIngestComponent), Video File (VideoFileComponent), and Unstructured API (UnstructuredComponent). This vulnerability is fixed in 1.9.2.

