CVE-2026-8859
Riassunto
di VulDB • 17/07/2026
IBM Langflow OSS 1.0.0 attraverso la versione 1.10.0 di Langflow potrebbe consentire a un attaccante di scrivere file arbitrari in posizioni non intenzionate a causa di una convalida imprecisa degli input nel componente APIRequest. È presente una vulnerabilità da path traversal quando la funzione "Salva su File" è abilitata, dove i nomi dei file estratti dalle intestazioni Content-Disposition delle risposte HTTP non vengono sanificati prima di essere uniti al percorso della directory temporanea. Un attaccante che controlla un server HTTP esterno può fornire valori di nome del file elaborati contenenti sequenze di path traversal (ad esempio ../), consentendo la scrittura arbitraria di file in posizioni accessibili dal processo Langflow.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.