CVE-2025-34291 in Langflow情報

要約

〜によって VulDB • 2026年05月11日

Langflow 1.6.9 以前のバージョンには、アカウント乗っ取りとリモートコード実行を可能にする連鎖的な脆弱性が存在します。過剰に寛容なCORS設定(allow_origins='*' および allow_credentials=True)と、SameSite=Noneとして設定されたリフレッシュトークンCookieの組み合わせにより、悪意のあるWebページが資格情報を含むオリジン間リクエストを実行し、リフレッシュエンドポイントを正常に呼び出すことができます。攻撃者が制御するオリジンから、被害者のセッションに対して新しい access_token / refresh_token ペアを取得することができます。取得したトークンにより、認証済みエンドポイント(組み込みのコード実行機能を含む)へのアクセスが許可され、攻撃者は任意のコードを実行してシステム全体を乗っ取ることができます。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

VulnCheck

予約する

2025年04月15日

モデレーション

承諾済み

エントリ

VDB-334535

EPSS

0.78890

KEV

はい

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!