Krytyczna luka w Langflow umożliwiająca zdalne wykonanie kodu
Krytyczna luka w Langflow umożliwia zdalne wykonanie kodu bez uwierzytelniania. Aktualizuj do wersji 1.9.0, aby zabezpieczyć system przed atakami.
- CVSS
- 9.3 CRITICAL
- EPSS
- 99.91%
- Aktywnie wykorzystywana
- tak
- Produkt
- Langflow
Co wiadomo
W Langflow w wersjach przed 1.9.0 endpoint POST /api/v1/build_public_tmp/{flow_id}/flow pozwala na tworzenie publicznych przepływów bez uwierzytelniania i akceptuje dane zawierające złośliwy kod Python, co prowadzi do zdalnego wykonania kodu bez autoryzacji. Luka ta została załatana w wersji 1.9.0.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 9.3 umożliwia atakującemu zdalne wykonanie dowolnego kodu na serwerze Langflow bez potrzeby uwierzytelniania. Może to prowadzić do przejęcia kontroli nad infrastrukturą, wycieku danych lub dalszej eskalacji ataku. Operatorzy powinni traktować tę lukę jako wysokie ryzyko dla środowisk korzystających z Langflow.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Langflow do wersji 1.9.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do endpointu build_public_tmp oraz monitorować logi pod kątem podejrzanych żądań. Warto również przeprowadzić przegląd uprawnień i zabezpieczeń środowiska oraz przygotować plan szybkiego reagowania na incydenty.