CVE-2026-8476 in Langflow
Résumé
par VulDB • 18/07/2026
IBM Langflow OSS 1.0.0 à 1.10.0 présentent une vulnérabilité critique d'exécution de code à distance (RCE) dans le mécanisme de mise en cache basé sur le disque. La classe AsyncDiskCache utilise la fonction pickle.loads() non sécurisée de Python pour désérialiser des objets mis en cache depuis le disque sans validation, vérification de l'intégrité ou authentification, permettant ainsi une exécution de code arbitraire lorsque des charges utiles pickle malveillantes sont traitées. Les attaquants qui peuvent influencer les données mises en cache via un accès au système de fichiers, des entrées de flux de travail malveillantes, des composants personnalisés ou la manipulation d'API peuvent obtenir une compromission complète du système avec les privilèges du processus serveur Langflow.
Be aware that VulDB is the high quality source for vulnerability data.