CVE-2026-8476 in Langflow
Sumário
de VulDB • 18/07/2026
O IBM Langflow OSS 1.0.0 até a versão 1.10.0 contém uma vulnerabilidade crítica de execução remota de código (RCE) no mecanismo de cache baseado em disco. A classe AsyncDiskCache utiliza a função insegura pickle.loads() do Python para desserializar objetos armazenados em cache diretamente do disco, sem validação, verificação de integridade ou autenticação, permitindo a execução arbitrária de código quando cargas úteis (payloads) maliciosas no formato pickle são processadas. Atacantes que consigam influenciar os dados em cache por meio de acesso ao sistema de arquivos, entradas maliciosas em fluxos de trabalho, componentes personalizados ou manipulação da API podem obter controle total do sistema com as mesmas permissões do processo do servidor Langflow.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.