CVE-2026-55255: Omijanie autoryzacji w Langflow przez podatność IDOR
Krytyczna luka w Langflow umożliwia omijanie autoryzacji i wykonanie przepływów innych użytkowników. Aktualizuj do wersji 1.9.2, aby zabezpieczyć system.
- CVSS
- 8.4 HIGH
- EPSS
- 14.15%
- Aktywnie wykorzystywana
- tak
- Produkt
- Langflow
Co wiadomo
Langflow, narzędzie do tworzenia i wdrażania agentów AI, miało krytyczną podatność IDOR w endpointzie /api/v1/responses, umożliwiającą uwierzytelnionemu atakującemu wykonanie przepływu innego użytkownika poprzez podanie jego ID. Luka została załatana w wersji 1.9.2.
Wpływ biznesowy
Podatność pozwala na nieautoryzowane wykonywanie przepływów innych użytkowników, co może prowadzić do naruszenia poufności i integralności danych oraz nieautoryzowanych działań w systemie. Operatorzy powinni traktować tę lukę jako krytyczną ze względu na wysoki wskaźnik CVSS i potwierdzone wykorzystanie w atakach.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Langflow do wersji 1.9.2 lub nowszej. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do API, monitorować logi pod kątem podejrzanych działań oraz przeprowadzić przegląd uprawnień użytkowników. Priorytetem jest szybkie wdrożenie poprawek i minimalizacja ekspozycji systemu.