CVE-2026-42048: Уразливість Path Traversal у langflow

Критична уразливість Path Traversal у langflow до 1.9.0 дозволяє видаляти файли на сервері. Оновіть до 1.9.0 для захисту від атак.
CVE-2026-42048CVSS 9.6General

CVE-2026-42048: Уразливість Path Traversal у langflow

Критична уразливість Path Traversal у langflow до 1.9.0 дозволяє видаляти файли на сервері. Оновіть до 1.9.0 для захисту від атак.

CVSS
9.6 CRITICAL
EPSS
90.17%
Активно використовується
немає в KEV
Продукт
langflow

Що відомо

У langflow до версії 1.9.0 виявлено критичну уразливість Path Traversal у API баз знань, що дозволяє автентифікованому зловмиснику видаляти довільні каталоги на сервері. Проблема виникає через недостатню перевірку імен баз знань, які безпосередньо використовуються у шляхах файлів.

Бізнес-вплив

Ця уразливість може призвести до втрати даних і порушення роботи сервісу через видалення важливих директорій на сервері. Власники інфраструктури та ІТ-оператори повинні враховувати високий рівень ризику, оскільки зловмисник з автентифікацією може завдати значної шкоди системі.

Рекомендовані дії адміністратора

Рекомендується оновити langflow до версії 1.9.0 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до API баз знань, провести аудит логів на предмет підозрілої активності та мінімізувати права користувачів. Важливо також переглянути політики безпеки для запобігання подібним атакам.

Джерела