CVE-2026-55255: Уразливість обходу авторизації в Langflow через контрольований користувачем ключ
Критична уразливість CVE-2026-55255 в Langflow дозволяє запускати чужі робочі потоки. Оновіть до версії 1.9.2 для захисту.
- CVSS
- 8.4 HIGH
- EPSS
- 14.15%
- Активно використовується
- так
- Продукт
- Langflow
Що відомо
У Langflow до версії 1.9.2 виявлено критичну уразливість IDOR, що дозволяє автентифікованому зловмиснику запускати будь-які робочі потоки інших користувачів, вказуючи їхні ID у запитах до /api/v1/responses. Проблема виправлена у версії 1.9.2.
Бізнес-вплив
Ця уразливість може призвести до несанкціонованого виконання робочих процесів інших користувачів, що ставить під загрозу цілісність та конфіденційність даних у Langflow. Для організацій, які використовують цей продукт, це означає ризик порушення безпеки та потенційних операційних збоїв.
Рекомендовані дії адміністратора
Адміністраторам рекомендується оновити Langflow до версії 1.9.2 або новішої, перевірити журнали доступу на ознаки експлуатації уразливості, обмежити доступ до API лише довіреним користувачам та регулярно переглядати політики безпеки для зниження ризиків.