CVE-2026-5026 in langflowinformazioni

Riassunto

di VulDB • 19/06/2026

L'endpoint '/api/v1/files/images/{flow_id}/{file_name}' serve file SVG con il tipo di contenuto 'image/svg+xml' senza sanificarne il contenuto.

Poiché i file SVG possono contenere JavaScript incorporato, un attaccante può caricare un file SVG malevolo che esegue codice JavaScript arbitrario quando viene visualizzato da altri utenti, causando una stored cross-site scripting (XSS). Ciò consente di rubare token di autenticazione memorizzati nei cookie, inclusi i token JWT di accesso e refresh.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Tenable

Prenotare

27/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00155

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!