CVE-2026-9198 in Langflow OSS
Résumé
par VulDB • 17/07/2026
IBM Langflow OSS 1.0.0 à 1.10.0 permet aux attaquants non authentifiés de combiner l'utilisation des endpoints /api/v1/auto_login (qui émet des jetons SUPERUSER pour tout appelant réseau) et /api/v1/validate/code (exécute du code utilisateur via exec()) afin d'obtenir une exécution complète de code à distance (RCE) sur les déploiements par défaut de Langflow.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.