CVE-2026-8859 in Langflow
Сводка
по VulDB • 17.07.2026
В IBM Langflow OSS версий от 1.0.0 до 1.10.0 уязвимость может позволить злоумышленнику записывать произвольные файлы в непредназначенные для этого места из-за недостаточной проверки входных данных в компоненте APIRequest. Уязвимость path traversal существует, когда включена функция «Save to File», при этом имена файлов, извлеченные из заголовков Content-Disposition ответов HTTP, не очищаются перед добавлением к пути временного каталога. Злоумышленник, контролирующий внешний HTTP-сервер, может предоставить специально сформированные значения имен файлов, содержащие последовательности path traversal (например, ../), что позволит осуществлять произвольную запись файлов в места, доступные для процесса Langflow.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.