Krytyczna luka Path Traversal w langflow do wersji 1.9.0
Krytyczna luka Path Traversal w langflow do wersji 1.9.0 pozwala na usunięcie dowolnych katalogów na serwerze. Zalecana szybka aktualizacja.
- CVSS
- 9.6 CRITICAL
- EPSS
- 90.17%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- langflow
Co wiadomo
Langflow, narzędzie do tworzenia agentów AI, ma lukę Path Traversal w API Knowledge Bases (DELETE /api/v1/knowledge_bases) przed wersją 1.9.0. Atakujący z uprawnieniami może usunąć dowolne katalogi na serwerze, co grozi utratą danych i przerwami w działaniu.
Wpływ biznesowy
Luka umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych katalogów na serwerze, co może prowadzić do poważnej utraty danych i zakłóceń w działaniu usług. Operatorzy powinni traktować tę podatność jako krytyczną ze względu na jej potencjał do wywołania poważnych incydentów operacyjnych i finansowych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie langflow do wersji 1.9.0 lub nowszej, gdzie luka została załatana. W przypadku braku możliwości aktualizacji, ogranicz dostęp do API Knowledge Bases tylko do zaufanych użytkowników, monitoruj logi pod kątem podejrzanych działań oraz rozważ izolację środowiska. Regularnie przeglądaj uprawnienia i stosuj zasady minimalnych uprawnień.