Langflow w wersjach do 1.6.9 włącznie zawiera podatność łańcuchową umożliwiającą przejęcie sesji użytkownika oraz zdalne wykonanie kodu (RCE). Błędna konfiguracja CORS w połączeniu z niewłaściwymi ustawieniami ciasteczka refresh token pozwala atakującemu na pełny kompromis systemu.
▸ Pokaż oryginał (EN)
Langflow versions up to and including 1.6.9 contain a chained vulnerability that enables account takeover and remote code execution. An overly permissive CORS configuration (allow_origins='*' with allow_credentials=True) combined with a refresh token cookie configured as SameSite=None allows a malicious webpage to perform cross-origin requests that include credentials and successfully call the refresh endpoint. An attacker-controlled origin can therefore obtain fresh access_token / refresh_token pairs for a victim session. Obtained tokens permit access to authenticated endpoints — including built-in code-execution functionality — allowing the attacker to execute arbitrary code and achieve full system compromise.
Aplikacja skonfigurowana jest z nadmiernie permisywną polityką CORS (allow_origins='*' z allow_credentials=True), co jest nieprawidłową kombinacją — przeglądarka powinna blokować takie żądania, jednak błąd w implementacji umożliwia ich realizację. Jednocześnie refresh token cookie skonfigurowany jest z flagą SameSite=None, co pozwala złośliwej stronie internetowej na wysyłanie żądań cross-origin zawierających dane uwierzytelniające (credentials). Atakujący może nakłonić ofiarę do odwiedzenia kontrolowanej przez siebie strony, która wywołuje endpoint odświeżania tokenów, uzyskując w ten sposób pary access_token / refresh_token dla sesji ofiary. Zdobyte tokeny umożliwiają dostęp do uwierzytelnionych endpointów, w tym wbudowanej funkcjonalności wykonywania kodu, prowadząc do uruchomienia dowolnego kodu na serwerze.
Atakujący może przejąć sesję uwierzytelnionego użytkownika, a następnie wykorzystać wbudowane w Langflow mechanizmy wykonywania kodu do uruchomienia dowolnych poleceń na serwerze i osiągnięcia pełnego kompromisu systemu (pełna kontrola nad serwerem oraz potencjalnie nad połączonymi zasobami).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. W ramach obejścia zaleca się niezwłoczne poprawienie konfiguracji CORS — usunięcie kombinacji allow_origins='*' z allow_credentials=True — oraz zmianę flagi SameSite dla refresh token cookie na wartość Strict lub Lax.
Langflow w wersjach do 1.6.9 włącznie (Langflow-ai/Langflow)
Podatność ma charakter łańcuchowy (CWE-346: Origin Validation Error) — wymaga interakcji użytkownika (UI:P), który musi odwiedzić złośliwą stronę. Szczegółowy opis techniczny opublikowany przez Obsidian Security dostępny jest pod adresem wskazanym w referencjach.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLangflow
APPLangflow≤ 1.6.9
CISA KEV — szczegółyi
- Dostawcai
- Langflow
- Produkti
- Langflow
- Data dodania do KEVi
- 21 maja 2026
- Termin remediation (USA)i
- 4 czerwca 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Langflow zawiera lukę w walidacji pochodzenia, w której nadmiernie permisywna konfiguracja CORS w połączeniu z refresh token cookie skonfigurowanym jako SameSite=None pozwala złośliwej stronie internetowej na wykonywanie żądań cross-origin zawierających poświadczenia i pomyślne wywołanie punktu końcowego odświeżającego. Może to pozwolić atakującemu na wykonanie dowolnego kodu i osiągnięcie pełnego kompromisu systemu poprzez uzyskane tokeny, które umożliwiają dostęp do uwierzytelnionych punktów końcowych.
▸ Pokaż oryginał (EN)
Langflow contains an origin validation error vulnerability in which an overly permissive CORS configuration combined with a refresh token cookie configured as SameSite=None allows a malicious webpage to perform cross-origin requests that include credentials and successfully call the refresh endpoint. This could allow the attacker to execute arbitrary code and achieve full system compromise via obtained tokens that permit access to authenticated endpoints.
Powiązane podatności
Langflow: nieuwierzytelniony RCE przez endpoint budowania publicznych przepływów
Nieuwierzytelnione RCE w Langflow poprzez wstrzyknięcie kodu w endpoint /api/v1/validate/code
IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process...
IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of ...
IBM Langflow OSS 1.0.0 through 1.9.6 could allow unauthenticated attackers to access protected MCP project res...