CVE-2025-34291 in Langflowالمعلومات

الملخص

بحسب VulDB • 12/06/2026

تحتوي إصدارات Langflow حتى الإصدار 1.6.9 (بما في ذلك) على ثغرة متسلسلة تتيح الاستيلاء على الحسابات وتنفيذ الأكواد عن بُعد. يؤدي تكوين CORS المفرط الصلاحيات (allow_origins='*' مع allow_credentials=True)، مقترناً بتكوين ملف تعريف الارتباط لرمز التحديث كـ SameSite=None، إلى تمكين صفحة ويب خبيثة من تنفيذ طلبات عبر النطاق تتضمن بيانات اعتماد والوصول بنجاح إلى نقطة نهاية تحديث الرمز. وبالتالي، يمكن لمصدر يتحكم فيه المهاجم الحصول على أزواج جديدة من رموز الوصول (access_token) ورموز التحديث (refresh_token) لجلسة الضحية. تتيح الرموز التي تم الحصول عليها الوصول إلى نقاط النهاية المصادق عليها — بما في ذلك وظائف تنفيذ الأكواد المدمجة — مما يسمح للمهاجم بتنفيذ أكواد عشوائية والسيطرة الكاملة على النظام.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

VulnCheck

حجز

15/04/2025

إفشاء

06/12/2025

الاعتدال

تمت الموافقة

إدخال

VDB-334535

EPSS

0.78890

KEV

نعم

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!