CVE-2026-10546
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie URL, spowodowaną warunkiem wyścigu TOCTOU, który może być wykorzystany przez ponowne wiązanie DNS.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wysyłania żądań do wewnętrznych zasobów sieciowych, co może prowadzić do ujawnienia wrażliwych danych lub dalszej kompromitacji systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację IBM Langflow OSS do wersji 1.9.4 lub nowszej, która zawiera poprawkę eliminującą warunek wyścigu TOCTOU.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.9.3 contains a Server-Side Request Forgery (SSRF) vulnerability in the URL component ( src/lfx/src/lfx/components/data_source/url.py ) due to a Time-of-Check/Time-of-Use (TOCTOU) race condition that can be exploited via DNS rebinding.

