Krytyczna luka Path Traversal w langflow do wersji 1.9.0

Krytyczna luka Path Traversal w langflow do wersji 1.9.0 pozwala na usunięcie dowolnych katalogów na serwerze. Zalecana szybka aktualizacja.
CVE-2026-42048CVSS 9.6General

Krytyczna luka Path Traversal w langflow do wersji 1.9.0

Krytyczna luka Path Traversal w langflow do wersji 1.9.0 pozwala na usunięcie dowolnych katalogów na serwerze. Zalecana szybka aktualizacja.

CVSS
9.6 CRITICAL
EPSS
90.17%
Aktywnie wykorzystywana
brak w KEV
Produkt
langflow

Co wiadomo

Langflow, narzędzie do tworzenia agentów AI, ma lukę Path Traversal w API Knowledge Bases (DELETE /api/v1/knowledge_bases) przed wersją 1.9.0. Atakujący z uprawnieniami może usunąć dowolne katalogi na serwerze, co grozi utratą danych i przerwami w działaniu.

Wpływ biznesowy

Luka umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych katalogów na serwerze, co może prowadzić do poważnej utraty danych i zakłóceń w działaniu usług. Operatorzy powinni traktować tę podatność jako krytyczną ze względu na jej potencjał do wywołania poważnych incydentów operacyjnych i finansowych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie langflow do wersji 1.9.0 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości aktualizacji, ogranicz dostęp do API Knowledge Bases tylko do zaufanych użytkowników, monitoruj logi pod kątem podejrzanych działań oraz rozważ izolację środowiska. Regularnie przeglądaj uprawnienia i stosuj zasady minimalnych uprawnień.

Źródła