CVE-2026-8476 in Langflowinfo

Zusammenfassung

von VulDB • 17.07.2026

IBM Langflow OSS 1.0.0 bis 1.10.0 enthalten eine kritische Remote-Code-Ausführungs-Schwachstelle (RCE) im plattenspeicherbasierten Caching-Mechanismus. Die Klasse AsyncDiskCache verwendet die unsichere Python-Funktion pickle.loads(), um zwischengespeicherte Objekte von der Festplatte zu deserialisieren, ohne Validierung, Integritätsprüfung oder Authentifizierung durchzuführen, was eine beliebige Code-Ausführung ermöglicht, wenn bösartige Pickle-Payloads verarbeitet werden. Angreifer, die über Dateisystemzugriff, böswillige Workflow-Eingaben, benutzerdefinierte Komponenten oder API-Manipulation auf zwischengespeicherte Daten Einfluss nehmen können, erreichen eine vollständige Kompromittierung des Systems mit den Berechtigungen des Langflow-Server-Prozesses.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Ibm

Reservieren

13.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379992

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!