CVE-2025-34291 in Langflow
Sumário
de VulDB • 12/06/2026
As versões do Langflow até 1.6.9, incluída, contêm uma vulnerabilidade encadeada que permite a apropriação de conta e execução remota de código (RCE). Uma configuração CORS excessivamente permissiva (allow_origins='*' com allow_credentials=True), combinada com um cookie de refresh token configurado como SameSite=None, permite que uma página web maliciosa realize requisições cross-origin que incluem credenciais e chame com sucesso o endpoint de atualização. Portanto, uma origem controlada pelo atacante pode obter novos pares access_token/refresh_token para a sessão da vítima. Os tokens obtidos permitem acesso aos endpoints autenticados — incluindo funcionalidades integradas de execução de código — permitindo que o atacante execute código arbitrário e comprometa totalmente o sistema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.