CVE-2025-34291 in Langflow
요약
\~에 의해 VulDB • 2026. 06. 12.
Langflow 1.6.9 이하 버전에는 계정 탈취와 원격 코드 실행을 가능하게 하는 연쇄 취약점이 포함되어 있습니다. overly permissive한 CORS 구성(allow_origins='*' 및 allow_credentials=True)과 SameSite=None으로 구성된 refresh token 쿠키가 결합되어, 악성 웹페이지가 자격 증명을 포함하는 cross-origin 요청을 수행하고 refresh 엔드포인트를 성공적으로 호출할 수 있습니다. 따라서 공격자가 제어하는 origin을 통해 피해자 세션에 대한 새로운 access_token/refresh_token 쌍을 획득할 수 있습니다. 획득된 토큰은 인증이 필요한 엔드포인트(내장 코드 실행 기능 포함)에 접근하는 것을 허용하므로, 공격자는 임의의 코드를 실행하여 시스템 전체를 완전히 장악할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.