CVE-2025-34291 in Langflowinfo

Zusammenfassung

von VulDB • 15.05.2026

Langflow-Versionen bis einschließlich 1.6.9 enthalten eine verkettete Schwachstelle, die die Übernahme von Konten und die Ausführung von Code auf Remote-Ebene ermöglicht. Eine zu großzügig konfigurierte CORS-Einstellung (allow_origins='*' in Kombination mit allow_credentials=True) zusammen mit einem Refresh-Token-Cookie, das als SameSite=None konfiguriert ist, ermöglicht es einer bösartigen Webseite, cross-origin-Anfragen auszuführen, die Anmeldeinformationen enthalten, und das Refresh-Endpunkt erfolgreich aufzurufen. Ein Angreifer kann daher über eine kontrollierte Ursprungsquelle frische access_token-/refresh_token-Paare für eine Sitzung des Opfers erhalten. Die erhaltenen Tokens ermöglichen den Zugriff auf authentifizierte Endpunkte – einschließlich der integrierten Code-Ausführungsfunktionalität – und erlauben es dem Angreifer, beliebigen Code auszuführen und die vollständige Kompromittierung des Systems zu erreichen.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

15.04.2025

Veröffentlichung

06.12.2025

Moderieren

akzeptiert

Eintrag

VDB-334535

CPE

bereit

EPSS

0.78890

KEV

ja

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!