CVE-2025-34291 in Langflowinformação

Sumário

de VulDB • 12/06/2026

As versões do Langflow até 1.6.9, incluída, contêm uma vulnerabilidade encadeada que permite a apropriação de conta e execução remota de código (RCE). Uma configuração CORS excessivamente permissiva (allow_origins='*' com allow_credentials=True), combinada com um cookie de refresh token configurado como SameSite=None, permite que uma página web maliciosa realize requisições cross-origin que incluem credenciais e chame com sucesso o endpoint de atualização. Portanto, uma origem controlada pelo atacante pode obter novos pares access_token/refresh_token para a sessão da vítima. Os tokens obtidos permitem acesso aos endpoints autenticados — incluindo funcionalidades integradas de execução de código — permitindo que o atacante execute código arbitrário e comprometa totalmente o sistema.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

VulnCheck

Reservar

15/04/2025

Divulgação

06/12/2025

Moderação

aceite

Entrada

VDB-334535

CPE

pronto

EPSS

0.78890

KEV

sim

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!