Katalog CVE

CVE-2026-55447

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. Przed wersją 1.9.2, atakujący mógł kontrolować pliki przetwarzane przez RAG, co pozwalało na odczyt dowolnego pliku z systemu plików za pomocą ścieżki bezwzględnej.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do wrażliwych danych na serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 1.9.2 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa systemu.

Oryginalny opis (angielski, źródło NVD)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.2, by controlling a files that are digested into the RAG, an attacker can direct the node to read any file on the file-system by absolute path. All components based on BaseFileComponent are vulnerable to the vulnerability. This includes Docling (DoclingInlineComponent), Docling Serve, DoclingRemoteComponent), Read File (FileComponent), NVIDIA Retriever Extraction (NvidiaIngestComponent), Video File (VideoFileComponent), and Unstructured API (UnstructuredComponent). This vulnerability is fixed in 1.9.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS