Katalog CVE

CVE-2026-7874

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą ujawnienie wszystkich przechowywanych poświadczeń. Problem wynika z użycia słabego i odwracalnego mechanizmu wyprowadzania klucza do szyfrowania danych w spoczynku.

Ocena ryzyka

Atakujący może odczytać wszystkie zaszyfrowane poświadczenia (np. hasła, tokeny API), co prowadzi do pełnej kompromitacji poufności danych uwierzytelniających i potencjalnego nieautoryzowanego dostępu do systemów.

Rekomendacja

Należy niezwłocznie zaktualizować IBM Langflow OSS do wersji nowszej niż 1.10.0, w której zastosowano bezpieczny mechanizm wyprowadzania klucza. Do czasu aktualizacji należy ograniczyć dostęp do systemu i monitorować logi pod kątem nieautoryzowanych prób odczytu danych.

Oryginalny opis (angielski, źródło NVD)

IBM Langflow OSS 1.0.0 through 1.10.0 Langflow could allow disclosure of all stored credentials due to the use of a weak and reversible key derivation mechanism for encryption at rest.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS