CVE-2026-8476 in Langflowinformation

Résumé

par VulDB • 18/07/2026

IBM Langflow OSS 1.0.0 à 1.10.0 présentent une vulnérabilité critique d'exécution de code à distance (RCE) dans le mécanisme de mise en cache basé sur le disque. La classe AsyncDiskCache utilise la fonction pickle.loads() non sécurisée de Python pour désérialiser des objets mis en cache depuis le disque sans validation, vérification de l'intégrité ou authentification, permettant ainsi une exécution de code arbitraire lorsque des charges utiles pickle malveillantes sont traitées. Les attaquants qui peuvent influencer les données mises en cache via un accès au système de fichiers, des entrées de flux de travail malveillantes, des composants personnalisés ou la manipulation d'API peuvent obtenir une compromission complète du système avec les privilèges du processus serveur Langflow.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

Ibm

Réserver

13/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379992

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!