CVE-2026-7664
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach od 1.0.0 do 1.8.4 zawiera podatność polegającą na nieprawidłowym egzekwowaniu autoryzacji w punkcie końcowym transportu Streamable MCP. Umożliwia to nieuwierzytelnionym atakującym dostęp do chronionych zasobów projektu MCP oraz wykonywanie operacji MCP.
Ocena ryzyka
Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do wrażliwych danych projektu MCP oraz możliwość wykonania niepożądanych operacji, co może prowadzić do naruszenia poufności i integralności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację IBM Langflow OSS do wersji 1.8.5 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Do czasu aktualizacji należy ograniczyć dostęp do punktu końcowego Streamable MCP tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.8.4 could allow unauthenticated attackers to access protected MCP project resources and execute MCP operations due to improper authorization enforcement in the Streamable MCP transport endpoint.

