Katalog CVE

CVE-2026-55255

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów opartych na AI. Przed wersją 1.9.2 występowała podatność typu Insecure Direct Object Reference (IDOR) w punkcie końcowym /api/v1/responses, która pozwalała uwierzytelnionemu atakującemu na wykonanie dowolnego przepływu należącego do innego użytkownika poprzez określenie identyfikatora przepływu ofiary w żądaniu.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do danych i operacji innych użytkowników, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 1.9.2 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji.

Oryginalny opis (angielski, źródło NVD)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.2, an Insecure Direct Object Reference (IDOR) vulnerability in /api/v1/responses endpoint allows an authenticated attacker to execute any flow belonging to another user by specifying the victim's flow ID in the request. This vulnerability is fixed in 1.9.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS