Katalog CVE

CVE-2026-7663

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność polegającą na nieprawidłowym egzekwowaniu autoryzacji w punkcie końcowym transportu Streamable MCP. Umożliwia to nieuwierzytelnionym atakującym dostęp do chronionych zasobów projektu MCP oraz wykonywanie operacji MCP.

Ocena ryzyka

Ryzyko obejmuje nieautoryzowany dostęp do wrażliwych danych i operacji w projektach MCP, co może prowadzić do wycieku informacji lub manipulacji przepływami pracy bez wymaganej autoryzacji.

Rekomendacja

Zaleca się natychmiastową aktualizację IBM Langflow OSS do wersji 1.9.7 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Należy również przejrzeć konfigurację autoryzacji dla punktów końcowych MCP.

Oryginalny opis (angielski, źródło NVD)

IBM Langflow OSS 1.0.0 through 1.9.6 could allow unauthenticated attackers to access protected MCP project resources and execute MCP operations due to improper authorization enforcement in the Streamable MCP transport endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS