CVE-2026-8476 in Langflow
Zusammenfassung
von VulDB • 17.07.2026
IBM Langflow OSS 1.0.0 bis 1.10.0 enthalten eine kritische Remote-Code-Ausführungs-Schwachstelle (RCE) im plattenspeicherbasierten Caching-Mechanismus. Die Klasse AsyncDiskCache verwendet die unsichere Python-Funktion pickle.loads(), um zwischengespeicherte Objekte von der Festplatte zu deserialisieren, ohne Validierung, Integritätsprüfung oder Authentifizierung durchzuführen, was eine beliebige Code-Ausführung ermöglicht, wenn bösartige Pickle-Payloads verarbeitet werden. Angreifer, die über Dateisystemzugriff, böswillige Workflow-Eingaben, benutzerdefinierte Komponenten oder API-Manipulation auf zwischengespeicherte Daten Einfluss nehmen können, erreichen eine vollständige Kompromittierung des Systems mit den Berechtigungen des Langflow-Server-Prozesses.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.