Krytyczna luka w Langflow umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Langflow umożliwia zdalne wykonanie kodu bez uwierzytelniania. Aktualizuj do wersji 1.9.0, aby zabezpieczyć system przed atakami.
CVE-2026-33017CVSS 9.3CISA KEVRuntime

Krytyczna luka w Langflow umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Langflow umożliwia zdalne wykonanie kodu bez uwierzytelniania. Aktualizuj do wersji 1.9.0, aby zabezpieczyć system przed atakami.

CVSS
9.3 CRITICAL
EPSS
99.91%
Aktywnie wykorzystywana
tak
Produkt
Langflow

Co wiadomo

W Langflow w wersjach przed 1.9.0 endpoint POST /api/v1/build_public_tmp/{flow_id}/flow pozwala na tworzenie publicznych przepływów bez uwierzytelniania i akceptuje dane zawierające złośliwy kod Python, co prowadzi do zdalnego wykonania kodu bez autoryzacji. Luka ta została załatana w wersji 1.9.0.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.3 umożliwia atakującemu zdalne wykonanie dowolnego kodu na serwerze Langflow bez potrzeby uwierzytelniania. Może to prowadzić do przejęcia kontroli nad infrastrukturą, wycieku danych lub dalszej eskalacji ataku. Operatorzy powinni traktować tę lukę jako wysokie ryzyko dla środowisk korzystających z Langflow.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Langflow do wersji 1.9.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointu build_public_tmp oraz monitorować logi pod kątem podejrzanych żądań. Warto również przeprowadzić przegląd uprawnień i zabezpieczeń środowiska oraz przygotować plan szybkiego reagowania na incydenty.

Źródła