Katalog CVE

CVE-2026-48520

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

W Langflow przed wersją 1.10.0 funkcja „Shareable Playground” („Public Flows”) umożliwiała publiczne wykonywanie przepływów. Żądanie wykonania mogło zawierać listę plików odczytywanych przez Langflow i przekazywanych do modelu LLM, co pozwalało na odczyt dowolnych plików lokalnych lub z S3, w zależności od konfiguracji.

Ocena ryzyka

Atakujący może odczytać poufne pliki z serwera lub magazynu S3, co prowadzi do wycieku danych wrażliwych organizacji.

Rekomendacja

Należy natychmiast zaktualizować Langflow do wersji 1.10.0 lub nowszej. Do czasu aktualizacji zaleca się wyłączenie funkcji publicznych przepływów.

Oryginalny opis (angielski, źródło NVD)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.10.0, the "Shareable Playground" (or "Public Flows" in code) contains a potential arbitrary file-read vulnerability, depending on the exact flow configuration used. By making a flow public, public execution of the flow is allowed. The execution request can contain a list of files that gets read by Langflow and fed into the LLM. The files path can be any path supported by the storage - it can be either a local file or S3 path if supported by the local configuration This vulnerability is fixed in 1.10.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS