Wersje Langflow od 1.2.0 do 1.8.1 zawierają niekompletną poprawkę CVE-2025-68478, która pozwala uwierzytelnionemu atakującemu na zapis pliku w dowolnym miejscu systemu plików hosta poprzez endpoint przesyłania plików. Luka prowadzi bezpośrednio do Remote Code Execution (RCE) i otrzymała ocenę CVSS 9.9.
▸ Pokaż oryginał (EN)
Langflow is a tool for building and deploying AI-powered agents and workflows. Versions 1.2.0 through 1.8.1 have a bypass of the patch for CVE-2025-68478 (External Control of File Name), leading to the root architectural issue within `LocalStorageService` remaining unresolved. Because the underlying storage layer lacks boundary containment checks, the system relies entirely on the HTTP-layer `ValidatedFileName` dependency. This defense-in-depth failure leaves the `POST /api/v2/files/` endpoint vulnerable to Arbitrary File Write. The multipart upload filename bypasses the path-parameter guard, allowing authenticated attackers to write files anywhere on the host system, leading to Remote Code Execution (RCE). Version 1.9.0 contains an updated fix.
Mechanizm obronny oparty wyłącznie na walidacji nazwy pliku na poziomie warstwy HTTP (dependency `ValidatedFileName`) może zostać ominięty przez odpowiednio spreparowaną nazwę pliku w żądaniu multipart upload kierowanym do endpointu `POST /api/v2/files/`. Warstwa przechowywania danych (`LocalStorageService`) nie wykonuje samodzielnie żadnych sprawdzeń granic ścieżki (boundary containment checks), co stanowi architektoniczną wadę systemu. Dzięki temu atakujący może przeprowadzić path traversal i zapisać plik w dowolnej lokalizacji na serwerze, omijając zabezpieczenie parametru ścieżki. Zapis złośliwego pliku w odpowiednim miejscu systemu umożliwia następnie wykonanie dowolnego kodu (RCE).
Uwierzytelniony atakujący może zapisać dowolny plik w wybranym miejscu na hoście, co w konsekwencji prowadzi do Remote Code Execution (RCE) oraz pełnej kompromitacji poufności, integralności i dostępności systemu.
Należy zaktualizować Langflow do wersji 1.9.0, która zawiera poprawioną implementację zabezpieczeń. Należy zastosować boundary containment checks bezpośrednio w warstwie `LocalStorageService`, a nie polegać wyłącznie na walidacji HTTP.
Langflow w wersjach od 1.2.0 do 1.8.1 (włącznie)
Podatność stanowi bypass niekompletnej poprawki dla CVE-2025-68478. Problem architektoniczny polega na braku samodzielnej weryfikacji granic ścieżki w komponencie LocalStorageService i przenoszeniu całego ciężaru walidacji na warstwę HTTP.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HLangflow
APPLangflow1.2.0 – 1.9.0 (bez)
Powiązane podatności
Langflow: nieuwierzytelniony RCE przez endpoint budowania publicznych przepływów
Langflow: przejęcie konta i RCE przez błędną konfigurację CORS
Nieuwierzytelnione RCE w Langflow poprzez wstrzyknięcie kodu w endpoint /api/v1/validate/code
IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of ...
IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process...