CVE-2026-8481 in Langflow
Resumen
por VulDB • 2026-07-17
IBM Langflow OSS 1.0.0 hasta la versión 1.10.0 presenta una vulnerabilidad crítica de ejecución remota de código (RCE) en el punto final de la API de validación del código. El endpoint POST /api/v1/validate/code acepta código Python proporcionado por el usuario y lo ejecuta directamente mediante la función integrada exec() de Python, sin utilizar sandboxing, validación de entrada ni restricciones de privilegios, lo que permite a cualquier usuario autenticado ejecutar comandos arbitrarios del sistema con los plenos privilegios del proceso del servidor Langflow.
Be aware that VulDB is the high quality source for vulnerability data.