CVE-2026-55255: Уразливість обходу авторизації в Langflow через контрольований користувачем ключ

Критична уразливість CVE-2026-55255 в Langflow дозволяє запускати чужі робочі потоки. Оновіть до версії 1.9.2 для захисту.
CVE-2026-55255CVSS 8.4CISA KEVKnown Exploited

CVE-2026-55255: Уразливість обходу авторизації в Langflow через контрольований користувачем ключ

Критична уразливість CVE-2026-55255 в Langflow дозволяє запускати чужі робочі потоки. Оновіть до версії 1.9.2 для захисту.

CVSS
8.4 HIGH
EPSS
14.15%
Активно використовується
так
Продукт
Langflow

Що відомо

У Langflow до версії 1.9.2 виявлено критичну уразливість IDOR, що дозволяє автентифікованому зловмиснику запускати будь-які робочі потоки інших користувачів, вказуючи їхні ID у запитах до /api/v1/responses. Проблема виправлена у версії 1.9.2.

Бізнес-вплив

Ця уразливість може призвести до несанкціонованого виконання робочих процесів інших користувачів, що ставить під загрозу цілісність та конфіденційність даних у Langflow. Для організацій, які використовують цей продукт, це означає ризик порушення безпеки та потенційних операційних збоїв.

Рекомендовані дії адміністратора

Адміністраторам рекомендується оновити Langflow до версії 1.9.2 або новішої, перевірити журнали доступу на ознаки експлуатації уразливості, обмежити доступ до API лише довіреним користувачам та регулярно переглядати політики безпеки для зниження ризиків.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки