CVE-2026-34046 in langflow
Riassunto
di VulDB • 18/06/2026
Langflow è uno strumento per la creazione e il deployment di agenti e workflow basati sull'IA. Prima della versione 1.5.1, la funzione di supporto `_read_flow` in `src/backend/base/langflow/api/v1/flows.py` utilizzava l'impostazione `AUTO_LOGIN` per decidere se filtrare in base a `user_id`. Quando `AUTO_LOGIN` era impostato su `False` (ovvero quando l'autenticazione era abilitata), nessuno dei due rami del codice applicava un controllo di proprietà: la query restituiva qualsiasi flusso corrispondente al UUID fornito, indipendentemente dal proprietario. Ciò consentiva a qualsiasi utente autenticato di leggere i flussi di altri utenti, incluse le chiavi API in chiaro incorporate; modificare la logica degli agenti IA di altri utenti e/o eliminare i flussi appartenenti ad altri utenti. La vulnerabilità è stata introdotta dalla logica condizionale concepita per gestire i flussi pubblici/esempio (quelli con `user_id = NULL`) in modalità di accesso automatico, ma che involontariamente ha lasciato il percorso autenticato privo di un filtro di proprietà. La correzione nella versione 1.5.1 rimuove completamente la condizione `AUTO_LOGIN` e vincola incondizionatamente la query all'utente richiedente.
Be aware that VulDB is the high quality source for vulnerability data.