CVE-2026-55255: Omijanie autoryzacji w Langflow przez podatność IDOR

Krytyczna luka w Langflow umożliwia omijanie autoryzacji i wykonanie przepływów innych użytkowników. Aktualizuj do wersji 1.9.2, aby zabezpieczyć system.
CVE-2026-55255CVSS 8.4CISA KEVKnown Exploited

CVE-2026-55255: Omijanie autoryzacji w Langflow przez podatność IDOR

Krytyczna luka w Langflow umożliwia omijanie autoryzacji i wykonanie przepływów innych użytkowników. Aktualizuj do wersji 1.9.2, aby zabezpieczyć system.

CVSS
8.4 HIGH
EPSS
14.15%
Aktywnie wykorzystywana
tak
Produkt
Langflow

Co wiadomo

Langflow, narzędzie do tworzenia i wdrażania agentów AI, miało krytyczną podatność IDOR w endpointzie /api/v1/responses, umożliwiającą uwierzytelnionemu atakującemu wykonanie przepływu innego użytkownika poprzez podanie jego ID. Luka została załatana w wersji 1.9.2.

Wpływ biznesowy

Podatność pozwala na nieautoryzowane wykonywanie przepływów innych użytkowników, co może prowadzić do naruszenia poufności i integralności danych oraz nieautoryzowanych działań w systemie. Operatorzy powinni traktować tę lukę jako krytyczną ze względu na wysoki wskaźnik CVSS i potwierdzone wykorzystanie w atakach.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Langflow do wersji 1.9.2 lub nowszej. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do API, monitorować logi pod kątem podejrzanych działań oraz przeprowadzić przegląd uprawnień użytkowników. Priorytetem jest szybkie wdrożenie poprawek i minimalizacja ekspozycji systemu.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS