W wersjach Langflow poprzedzających 1.9.0 endpoint POST /api/v1/build_public_tmp/{flow_id}/flow umożliwia wykonanie dowolnego kodu Python bez jakiegokolwiek uwierzytelnienia. Podatność jest aktywnie wykorzystywana na wolności i otrzymała ocenę CVSS 9.3 (CRITICAL).
▸ Pokaż oryginał (EN)
Langflow is a tool for building and deploying AI-powered agents and workflows. In versions prior to 1.9.0, the POST /api/v1/build_public_tmp/{flow_id}/flow endpoint allows building public flows without requiring authentication. When the optional data parameter is supplied, the endpoint uses attacker-controlled flow data (containing arbitrary Python code in node definitions) instead of the stored flow data from the database. This code is passed to exec() with zero sandboxing, resulting in unauthenticated remote code execution. This is distinct from CVE-2025-3248, which fixed /api/v1/validate/code by adding authentication. The build_public_tmp endpoint is designed to be unauthenticated (for public flows) but incorrectly accepts attacker-supplied flow data containing arbitrary executable code. This issue has been fixed in version 1.9.0.
Endpoint build_public_tmp jest celowo zaprojektowany jako niewymagający uwierzytelnienia, aby obsługiwać publiczne przepływy (flows). Gdy żądanie POST zawiera opcjonalny parametr data, serwer używa dostarczonej przez atakującego definicji przepływu zamiast danych przechowywanych w bazie danych. Definicja ta może zawierać dowolny kod Python osadzony w węzłach (node definitions), który następnie jest przekazywany bezpośrednio do funkcji exec() bez jakiegokolwiek sandboxingu ani walidacji. W efekcie atakujący może zdalnie wykonać arbitralny kod na serwerze bez posiadania żadnych poświadczeń.
Atakujący bez uwierzytelnienia może wykonać dowolny kod Python w kontekście procesu serwera Langflow, co prowadzi do pełnego przejęcia systemu, wycieku danych, instalacji backdoorów lub lateral movement w sieci wewnętrznej.
Należy niezwłocznie zaktualizować Langflow do wersji 1.9.0 lub nowszej, w której podatność została naprawiona. Poprawka dostępna jest w repozytorium projektu (commit 73b6612e3ef25fdae0a752d75b0fabd47328d4f0) oraz w oficjalnym wydaniu 1.9.0.
Langflow we wszystkich wersjach poprzedzających 1.9.0
Podatność jest odrębna od CVE-2025-3248, który dotyczył endpointu /api/v1/validate/code i został naprawiony przez dodanie uwierzytelnienia. Mechanizm odkrycia opisano publicznie na platformie Medium (autor: aviral23). Endpoint build_public_tmp był z założenia nieuwierzytelniony, jednak błędnie akceptował atakujący-kontrolowane dane przepływu zawierające wykonywalny kod.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLangflow
APPLangflow< 1.8.2
CISA KEV — szczegółyi
- Dostawcai
- Langflow
- Produkti
- Langflow
- Data dodania do KEVi
- 25 marca 2026
- Termin remediation (USA)i
- 8 kwietnia 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaniechaj korzystania z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Langflow zawiera lukę umożliwiającą code injection, która mogłaby pozwolić na budowanie publicznych flow bez wymagania uwierzytelnienia.
▸ Pokaż oryginał (EN)
Langflow contains a code injection vulnerability that could allow building public flows without requiring authentication.
Powiązane podatności
Langflow: przejęcie konta i RCE przez błędną konfigurację CORS
Nieuwierzytelnione RCE w Langflow poprzez wstrzyknięcie kodu w endpoint /api/v1/validate/code
IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of ...
IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process...
IBM Langflow OSS 1.0.0 through 1.9.6 could allow unauthenticated attackers to access protected MCP project res...