Krytyczna luka w Langflow umożliwiająca przejęcie konta i wykonanie zdalnego kodu

Langflow do 1.6.9 ma krytyczną lukę umożliwiającą przejęcie konta i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
CVE-2025-34291CVSS 9.4CISA KEVKnown Exploited

Krytyczna luka w Langflow umożliwiająca przejęcie konta i wykonanie zdalnego kodu

Langflow do 1.6.9 ma krytyczną lukę umożliwiającą przejęcie konta i zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje.

CVSS
9.4 CRITICAL
EPSS
99.55%
Aktywnie wykorzystywana
tak
Produkt
Langflow

Co wiadomo

Wersje Langflow do 1.6.9 włącznie zawierają poważną lukę bezpieczeństwa wynikającą z błędnej konfiguracji CORS i ciasteczek refresh token, co pozwala na przejęcie sesji użytkownika oraz wykonanie zdalnego kodu. Atakujący może uzyskać ważne tokeny dostępu i odświeżania, co umożliwia dostęp do chronionych funkcji i pełne przejęcie systemu.

Wpływ biznesowy

Ta luka stwarza ryzyko całkowitego przejęcia systemu przez atakującego, co może prowadzić do utraty kontroli nad infrastrukturą i danych. Operatorzy IT powinni traktować to zagrożenie jako krytyczne, ponieważ umożliwia ono zdalne wykonanie dowolnego kodu z uprawnieniami użytkownika. Niezabezpieczone środowiska mogą zostać szybko wykorzystane do eskalacji ataku i poważnych naruszeń bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i łatek od producenta Langflow oraz ich wdrożenie. W przypadku braku natychmiastowej poprawki należy ograniczyć ekspozycję usługi, zweryfikować konfigurację CORS i ciasteczek, monitorować logi pod kątem podejrzanych aktywności oraz priorytetyzować działania naprawcze. Warto również rozważyć tymczasowe wyłączenie funkcji odświeżania tokenów lub ograniczenie dostępu do interfejsów API.

Źródła