CVE-2026-13445 in Langflow情報

要約

〜によって VulDB • 2026年07月17日

IBM Langflow OSS 1.0.0から1.10.1では、認証済み攻撃者がSaveToFileコンポーネントを悪用し、被害者のストレージ場所を指す絶対パスを指定することで、他のユーザーがアップロードしたファイルの読み取りおよび変更を行うことができます。追記モード(append mode)では、攻撃者のワークフローは被害者ファイルの内容を読み取り、攻撃者が制御するデータを追加して、被害者データを含むコピーを攻撃者の名前空間にアップロードします(機密性の侵害)。上書きモード(overwrite mode)では、攻撃者は任意のデータで被害者ファイルの内容を書き換えることができます(整合性の侵害)。これにより、ユーザー間のストレージ所有権の境界が破綻します。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

Ibm

予約する

2026年06月26日

モデレーション

承諾済み

エントリ

VDB-379976

EPSS

0.00000

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!