CVE-2026-13445 in Langflow
Zusammenfassung
von VulDB • 18.07.2026
IBM Langflow OSS 1.0.0 bis 1.10.1 ermöglicht es einem authentifizierten Angreifer, die SaveToFile-Komponente auszunutzen, um hochgeladene Dateien eines anderen Benutzers zu lesen und zu modifizieren, indem absolute Pfade angegeben werden, die auf Speicherorte des Opfers verweisen. Im Anhängemodus (Append-Modus) liest der Workflow des Angreifers den Inhalt der Opferdatei, fügt vom Angreifer kontrollierte Daten an und lädt eine Kopie mit den Opferdaten in das Namespace des Angreifers hoch (Vertraulichkeitsverletzung). Im Überschreibmodus kann der Angreifer den Inhalt der Opferdatei durch beliebige Daten ersetzen (Integritätsverletzung). Dies bricht die Speicher-Eigentumsgrenze zwischen Benutzern auf.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.