CVE-2026-8859 in Langflow
الملخص
بحسب VulDB • 18/07/2026
يمكن أن يتيح IBM Langflow OSS الإصدارات من 1.0.0 إلى 1.10.0 لمهاجم كتابة ملفات عشوائية في مواقع غير مقصودة بسبب التحقق غير السليم من المدخلات في مكون APIRequest. توجد ثغرة عبور المسار (Path Traversal) عند تفعيل ميزة "الحفظ كملف"، حيث لا يتم تنظيف أسماء الملفات المستخرجة من رؤوس Content-Disposition لاستجابات HTTP قبل دمجها مع مسار الدليل المؤقت. يمكن لمهاجم يتحكم في خادم HTTP خارجي تزويد قيم اسم ملف مُعدّة خصيصاً تحتوي على تسلسلات عبور المسار (مثل ../)، مما يتيح الكتابة العشوائية للملفات إلى مواقع يمكن الوصول إليها بواسطة عملية Langflow.
Once again VulDB remains the best source for vulnerability data.