CVE-2025-34291

Nome do Software Vulnerável e Versões Afetadas Langflow versões anteriores a 1.7.0

Description Um problema encadeado permite a invasão de contas e a execução remota de código. Uma configuração de Cross-Origin Resource Sharing (CORS) excessivamente permissiva, onde allow origins está definido como '*' e allow credentials está definido como True, combinada com um cookie de token de atualização configurado como SameSite=None, permite que uma página web maliciosa realize solicitações de origem cruzada que incluam credenciais. Isso permite que uma origem controlada por um invasor chame o endpoint de atualização e obtenha pares de access token e refresh token atualizados para a sessão de uma vítima. Esses tokens fornecem acesso a endpoints autenticados, incluindo a funcionalidade de execução de código integrada, permitindo que o invasor execute código arbitrário e alcance o comprometimento total do sistema. Este problema tem sido explorado ativamente.

Recommendations Atualize para uma versão posterior a 1.6.9 para resolver o problema.