CVE-2026-7663
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność polegającą na nieprawidłowym egzekwowaniu autoryzacji w punkcie końcowym transportu Streamable MCP. Umożliwia to nieuwierzytelnionym atakującym dostęp do chronionych zasobów projektu MCP oraz wykonywanie operacji MCP.
Ocena ryzyka
Ryzyko obejmuje nieautoryzowany dostęp do wrażliwych danych i operacji w projektach MCP, co może prowadzić do wycieku informacji lub manipulacji przepływami pracy bez wymaganej autoryzacji.
Rekomendacja
Zaleca się natychmiastową aktualizację IBM Langflow OSS do wersji 1.9.7 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Należy również przejrzeć konfigurację autoryzacji dla punktów końcowych MCP.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.9.6 could allow unauthenticated attackers to access protected MCP project resources and execute MCP operations due to improper authorization enforcement in the Streamable MCP transport endpoint.

