CVE-2026-10564
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Komponenty RSSReaderComponent i SearXNG wykonują niezweryfikowane żądania HTTP do adresów URL kontrolowanych przez użytkownika, omijając zabezpieczenia SSRF wprowadzone w wersji 1.9.3.
Ocena ryzyka
Uwierzytelniony atakujący może wykorzystać tę podatność do uzyskania dostępu do wewnętrznych zasobów, w tym usług metadanych chmury (AWS/Azure/GCP IMDS), co może prowadzić do kradzieży poświadczeń IAM i skanowania wewnętrznej sieci. Podatność może być również aktywowana przez wstrzyknięcie promptu w przepływach agentowych.
Rekomendacja
Należy natychmiast zaktualizować IBM Langflow OSS do wersji 1.9.7 lub nowszej, która zawiera poprawkę eliminującą podatność SSRF. Dodatkowo, zaleca się ograniczenie dostępu do komponentów RSSReaderComponent i SearXNG oraz monitorowanie ruchu sieciowego pod kątem podejrzanych żądań HTTP.
Oryginalny opis (angielski, źródło NVD)
IBM Langflow OSS 1.0.0 through 1.9.6 contains a Server-Side Request Forgery (SSRF). The legacy RSSReaderComponent in rss.py and SearXNG component in searxng.py make unvalidated HTTP requests to user-controlled URLs, bypassing SSRF protections introduced in version 1.9.3. An authenticated attacker can exploit this to access internal resources including cloud metadata services (AWS/Azure/GCP IMDS), potentially exfiltrating IAM credentials and enumerating internal networks. The vulnerability can also be triggered through prompt injection in agentic workflows due to tool_mode=True exposure.

