CVE-2026-7874
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą ujawnienie wszystkich przechowywanych poświadczeń. Problem wynika z użycia słabego i odwracalnego mechanizmu wyprowadzania klucza do szyfrowania danych w spoczynku.
Ocena ryzyka
Atakujący może odczytać wszystkie zaszyfrowane poświadczenia (np. hasła, tokeny API), co prowadzi do pełnej kompromitacji poufności danych uwierzytelniających i potencjalnego nieautoryzowanego dostępu do systemów.
Rekomendacja
Należy niezwłocznie zaktualizować IBM Langflow OSS do wersji nowszej niż 1.10.0, w której zastosowano bezpieczny mechanizm wyprowadzania klucza. Do czasu aktualizacji należy ograniczyć dostęp do systemu i monitorować logi pod kątem nieautoryzowanych prób odczytu danych.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.10.0 Langflow could allow disclosure of all stored credentials due to the use of a weak and reversible key derivation mechanism for encryption at rest.

