Ddlxstudio

**Nome do Software Vulnerável e Versões Afetadas** Langflow versões anteriores a 1.9.0 **Description** Langflow é uma ferramenta para construção e implantação de agentes e fluxos de trabalho baseados em IA. Uma falha de path traversal existe no endpoint da API de Knowledge Bases "DELETE /api/v1/knowledge bases" dentro da função `delete knowledge bases bulk()`. O problema ocorre porque os nomes das bases de conhecimento fornecidos pelo usuário no parâmetro `kb names` são concatenados diretamente em caminhos de arquivos sem a devida sanitização ou validação de limite. Isso permite que um invasor autenticado utilize sequências de travessia (ex: `../`) para escapar do diretório pretendido e acionar a função `shutil.rmtree()` para excluir diretórios arbitrários no sistema de arquivos do servidor. Isso pode levar à perda de dados entre locatários, exclusão de arquivos críticos do aplicativo e potencial interrupção do serviço. **Recommendations** Atualizar para a versão 1.9.0. Como medida paliativa temporária, restrinja o acesso ao endpoint da API "DELETE /api/v1/knowledge bases" para minimizar o risco de exploração.