Katalog CVE

CVE-2026-10560

WysokieCVSS 8.2
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera brak uwierzytelniania w endpointach /api/v1/build_public_tmp/, co pozwala nieuwierzytelnionemu atakującemu na odczyt danych zdarzeń budowania lub anulowanie zadań przy użyciu prawidłowego identyfikatora zadania, prowadząc do ujawnienia informacji i odmowy usługi.

Ocena ryzyka

Ryzyko dla organizacji obejmuje potencjalne ujawnienie wrażliwych danych związanych z procesami budowania oraz możliwość zakłócenia działania systemu poprzez anulowanie zadań, co może wpłynąć na ciągłość operacji.

Rekomendacja

Zaleca się natychmiastową aktualizację IBM Langflow OSS do wersji 1.9.7 lub nowszej, która usuwa tę podatność, oraz wdrożenie uwierzytelniania dla wszystkich endpointów API.

Oryginalny opis (angielski, źródło NVD)

IBM Langflow OSS 1.0.0 through 1.9.6 contains a missing authentication vulnerability in /api/v1/build_public_tmp/ endpoints that allows an unauthenticated attacker to read build event data or cancel jobs using a valid job identifier, resulting in information disclosure and denial of service.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS