Уразливість ін’єкції коду в Langflow дозволяє віддалене виконання

Langflow до 1.9.0 має критичну уразливість, що дозволяє віддалене виконання коду через API. Оновіть до 1.9.0 для захисту систем.
CVE-2026-33017CVSS 9.3CISA KEVRuntime

Уразливість ін’єкції коду в Langflow дозволяє віддалене виконання

Langflow до 1.9.0 має критичну уразливість, що дозволяє віддалене виконання коду через API. Оновіть до 1.9.0 для захисту систем.

CVSS
9.3 CRITICAL
EPSS
99.91%
Активно використовується
так
Продукт
Langflow

Що відомо

У Langflow до версії 1.9.0 існувала критична уразливість, що дозволяє неавторизованому користувачу виконувати довільний Python-код через API-ендпоінт для публічних потоків. Це призводить до віддаленого виконання коду без обмежень, що становить серйозну загрозу безпеці.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури використання уразливих версій Langflow може призвести до компрометації систем через віддалене виконання коду. Зловмисники можуть отримати контроль над серверами, що обробляють публічні потоки, що загрожує витоком даних, порушенням цілісності та доступності сервісів.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Langflow до версії 1.9.0 або новішої, де ця уразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до API-ендпоінту /api/v1/build_public_tmp/{flow_id}/flow, перевірити журнали на ознаки експлуатації та впровадити додаткові заходи контролю доступу. Пріоритетно провести аудит безпеки та моніторинг систем.

Джерела