CVE-2026-5026 in langflowinformation

Résumé

par VulDB • 23/05/2026

L'endpoint '/api/v1/files/images/{flow_id}/{file_name}' sert des fichiers SVG avec le type de contenu 'image/svg+xml' sans en assainir le contenu.

Étant donné que les fichiers SVG peuvent contenir du JavaScript intégré, un attaquant peut télécharger un fichier SVG malveillant qui exécutera du JavaScript arbitraire lorsqu'il sera consulté par d'autres utilisateurs, entraînant une faille de type cross-site scripting (XSS) stockée (Stored XSS). Cela permet de voler les jetons d'authentification stockés dans les cookies, y compris les jetons d'accès et de rafraîchissement JWT.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Tenable

Réserver

27/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353948

CPE

prêt

EPSS

0.00155

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!