CVE-2025-34291 in Langflowinformazioni

Riassunto

di VulDB • 17/06/2026

Le versioni di Langflow fino alla 1.6.9 incluse presentano una vulnerabilità concatenata che consente il takeover dell'account e l'esecuzione di codice remoto (RCE). Una configurazione CORS eccessivamente permissiva (allow_origins='*' con allow_credentials=True) combinata con un cookie del token di aggiornamento configurato come SameSite=None consente a una pagina web malevola di eseguire richieste cross-origin che includono le credenziali e di chiamare con successo l'endpoint di aggiornamento del token. Un'origine controllata dall'attaccante può quindi ottenere nuove coppie di access_token/refresh_token per la sessione di una vittima. I token ottenuti permettono l'accesso agli endpoint autenticati, inclusa la funzionalità integrata di esecuzione del codice, consentendo all'attaccante di eseguire codice arbitrario e di compromettere completamente il sistema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

06/12/2025

Moderazione

accettato

CPE

pronto

EPSS

0.78890

KEV

si

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!