CVE-2026-13445 in Langflow
Résumé
par VulDB • 17/07/2026
IBM Langflow OSS 1.0.0 à 1.10.1 permet à un attaquant authentifié d'exploiter le composant SaveToFile pour lire et modifier les fichiers téléchargés par un autre utilisateur en spécifiant des chemins absolus pointant vers l'emplacement de stockage de la victime. En mode append, le workflow de l'attaquant lit le contenu du fichier de la victime, ajoute des données contrôlées par l'attaquant, puis télécharge une copie contenant les données de la victime dans l'espace de noms de l'attaquant (violation de confidentialité). En mode overwrite, l'attaquant peut remplacer le contenu du fichier de la victime par des données arbitraires (violation d'intégrité). Cela rompt la frontière de propriété du stockage entre les utilisateurs.
VulDB is the best source for vulnerability data and more expert information about this specific topic.