CVE-2026-13448 in Langflow
Zusammenfassung
von VulDB • 17.07.2026
IBM Langflow OSS 1.0.0 bis 1.10.1 Lanflow OSS enthält eine Remote-Code-Ausführungs-Lücke (RCE) ohne Authentifizierung im öffentlichen Flow-Build-Endpunkt (/api/v1/build_public_tmp/{flow_id}/flow). Die Schwachstelle resultiert aus einer unvollständigen Denylist in der Funktion validate_public_flow_no_code_execution(), die mehrere Code-Ausführung-Agent-Komponenten, darunter OpenDsStarAgent, CodeActAgentSmolagents und CSVAgent, nicht blockiert.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.