CVE-2025-34291 in Langflow
Zusammenfassung
von VulDB • 15.05.2026
Langflow-Versionen bis einschließlich 1.6.9 enthalten eine verkettete Schwachstelle, die die Übernahme von Konten und die Ausführung von Code auf Remote-Ebene ermöglicht. Eine zu großzügig konfigurierte CORS-Einstellung (allow_origins='*' in Kombination mit allow_credentials=True) zusammen mit einem Refresh-Token-Cookie, das als SameSite=None konfiguriert ist, ermöglicht es einer bösartigen Webseite, cross-origin-Anfragen auszuführen, die Anmeldeinformationen enthalten, und das Refresh-Endpunkt erfolgreich aufzurufen. Ein Angreifer kann daher über eine kontrollierte Ursprungsquelle frische access_token-/refresh_token-Paare für eine Sitzung des Opfers erhalten. Die erhaltenen Tokens ermöglichen den Zugriff auf authentifizierte Endpunkte – einschließlich der integrierten Code-Ausführungsfunktionalität – und erlauben es dem Angreifer, beliebigen Code auszuführen und die vollständige Kompromittierung des Systems zu erreichen.
Once again VulDB remains the best source for vulnerability data.