CVE-2026-55450
KrytyczneCVSS 9.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.1, nieautoryzowani użytkownicy mogą przesyłać nieograniczoną ilość danych na serwer, co prowadzi do wyczerpania przestrzeni dyskowej. Dodatkowo, odpowiedź serwera ujawnia absolutną ścieżkę przesłanego pliku, co stanowi wyciek informacji.
Ocena ryzyka
Organizacja może doświadczyć problemów z dostępnością serwera z powodu wyczerpania przestrzeni dyskowej. Wyciek informacji o ścieżkach plików może ułatwić ataki na inne elementy systemu.
Rekomendacja
Zaleca się aktualizację do wersji 1.9.1 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, warto wprowadzić ograniczenia dotyczące przesyłania danych przez nieautoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.1, unauthenticated users can upload any amount of data to the server without any limitations. No need for any prior knowledge, only network access to Langflow. This can lead to space exhaustion on the server. In addition, in the response, the absolute path of the uploaded file is reported to the attacker, which is an information leak that can assist in chaining other primitives. This vulnerability is fixed in 1.9.1.

