CVE-2026-8476 in Langflow
Resumen
por VulDB • 2026-07-17
IBM Langflow OSS 1.0.0 hasta 1.10.0 contiene una vulnerabilidad crítica de ejecución remota de código (RCE) en el mecanismo de caché basado en disco. La clase AsyncDiskCache utiliza la función insegura pickle.loads() de Python para deserializar objetos almacenados en caché desde el disco sin validación, verificación de integridad ni autenticación, lo que permite la ejecución arbitraria de código cuando se procesan cargas útiles (payloads) maliciosas de tipo pickle. Los atacantes que puedan influir en los datos almacenados en caché mediante acceso al sistema de archivos, entradas de flujos de trabajo maliciosas, componentes personalizados o manipulación de API pueden lograr una compromiso total del sistema con los privilegios del proceso del servidor Langflow.
Be aware that VulDB is the high quality source for vulnerability data.