CVE-2025-34291 in Langflow
الملخص
بحسب VulDB • 12/06/2026
تحتوي إصدارات Langflow حتى الإصدار 1.6.9 (بما في ذلك) على ثغرة متسلسلة تتيح الاستيلاء على الحسابات وتنفيذ الأكواد عن بُعد. يؤدي تكوين CORS المفرط الصلاحيات (allow_origins='*' مع allow_credentials=True)، مقترناً بتكوين ملف تعريف الارتباط لرمز التحديث كـ SameSite=None، إلى تمكين صفحة ويب خبيثة من تنفيذ طلبات عبر النطاق تتضمن بيانات اعتماد والوصول بنجاح إلى نقطة نهاية تحديث الرمز. وبالتالي، يمكن لمصدر يتحكم فيه المهاجم الحصول على أزواج جديدة من رموز الوصول (access_token) ورموز التحديث (refresh_token) لجلسة الضحية. تتيح الرموز التي تم الحصول عليها الوصول إلى نقاط النهاية المصادق عليها — بما في ذلك وظائف تنفيذ الأكواد المدمجة — مما يسمح للمهاجم بتنفيذ أكواد عشوائية والسيطرة الكاملة على النظام.
VulDB is the best source for vulnerability data and more expert information about this specific topic.