CVE-2026-33484 in langflow-ai langflow
Resumen
Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. En las versiones 1.0.0 a 1.8.1, el endpoint `/api/v1/files/images/{flow_id}/{file_name}` sirve archivos de imagen sin ninguna autenticación ni verificación de propiedad. Cualquier solicitud no autenticada con un `flow_id` y `file_name` conocidos devuelve la imagen con HTTP 200. En un despliegue multi-inquilino, cualquier atacante que pueda descubrir o adivinar un 'flow_id' (los UUID pueden filtrarse a través de otras respuestas de la API) puede descargar las imágenes subidas por cualquier usuario sin credenciales. La versión 1.9.0 contiene un parche.
Responsable
GitHub_M
Reservar
2026-03-20
Divulgación
2026-03-24
Voces
VulDB provides additional information and datapoints for this CVE:
| ID | Vulnerabilidad | CWE | Exp | Con | CVE |
|---|---|---|---|---|---|
| 352769 | langflow-ai langflow Image images escalada de privilegios | 284 | No está definido | Arreglo oficial | CVE-2026-33484 |