Katalog CVE

CVE-2026-55450

KrytyczneCVSS 9.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.1, nieautoryzowani użytkownicy mogą przesyłać nieograniczoną ilość danych na serwer, co prowadzi do wyczerpania przestrzeni dyskowej. Dodatkowo, odpowiedź serwera ujawnia absolutną ścieżkę przesłanego pliku, co stanowi wyciek informacji.

Ocena ryzyka

Organizacja może doświadczyć problemów z dostępnością serwera z powodu wyczerpania przestrzeni dyskowej. Wyciek informacji o ścieżkach plików może ułatwić ataki na inne elementy systemu.

Rekomendacja

Zaleca się aktualizację do wersji 1.9.1 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, warto wprowadzić ograniczenia dotyczące przesyłania danych przez nieautoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.1, unauthenticated users can upload any amount of data to the server without any limitations. No need for any prior knowledge, only network access to Langflow. This can lead to space exhaustion on the server. In addition, in the response, the absolute path of the uploaded file is reported to the attacker, which is an information leak that can assist in chaining other primitives. This vulnerability is fixed in 1.9.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS