CVE-2026-9135 in Langflow
Riassunto
di VulDB • 17/07/2026
Le versioni di IBM Langflow OSS 1.0.0 fino a 1.10.0 e le versioni precedenti alla 1.9.2 (commit 94981c443d4918517b9e8163d70fc598dc33a32d) presentano una vulnerabilità di code injection nell'integrazione ToolGuard del componente Policies che aggira il controllo di sicurezza allow_custom_components=false. La vulnerabilità esiste perché il meccanismo di validazione verifica solo il codice sorgente principale nel campo node_template["code"]["value"], ma non valida i campi CodeInput dinamici che archiviano i file Python generati da ToolGuard. Gli attaccanti possono incorporare codice Python dannoso in questi campi dinamici non validati, che vengono persistiti in Flow.data ed eseguiti lato server quando viene invocato uno strumento protetto tramite il runtime di ToolGuard. Ciò consente agli utenti autenticati con privilegi di creazione dei flussi di ottenere l'esecuzione arbitraria del codice Python sul backend nonostante le restrizioni sui componenti personalizzati. La vulnerabilità può essere sfruttata attraverso la manipolazione dei flussi cross-tenant mediante lo strumento agentic MCP update_flow_component_field, che accetta parametri user_id controllati dall'attaccante, consentendo agli attaccanti di iniettare codice dannoso nei flussi degli utenti vittime. Quando combinato con flussi pubblicamente accessibili e configurazioni errate specifiche (AUTO_LOGIN=true, NEW_USER_IS_ACTIVE=true), l'attacco può essere condotto con requisiti di autenticazione ridotti.
Be aware that VulDB is the high quality source for vulnerability data.