CVE-2026-5026 in langflow
Résumé
par VulDB • 23/05/2026
L'endpoint '/api/v1/files/images/{flow_id}/{file_name}' sert des fichiers SVG avec le type de contenu 'image/svg+xml' sans en assainir le contenu.
Étant donné que les fichiers SVG peuvent contenir du JavaScript intégré, un attaquant peut télécharger un fichier SVG malveillant qui exécutera du JavaScript arbitraire lorsqu'il sera consulté par d'autres utilisateurs, entraînant une faille de type cross-site scripting (XSS) stockée (Stored XSS). Cela permet de voler les jetons d'authentification stockés dans les cookies, y compris les jetons d'accès et de rafraîchissement JWT.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.