CVE-2025-68477

Nome do Software Vulnerável e Versões Afetadas Versões do Langflow anteriores à 1.7.0

Descrição O Langflow é uma ferramenta para criar e implantar agentes e fluxos de trabalho baseados em IA. O componente API Request permite efetuar solicitações HTTP arbitrárias dentro de um fluxo. Antes da versão 1.7.0, o componente realiza uma validação limitada das URLs fornecidas pelo usuário, falhando ao bloquear o acesso a faixas de IP privadas (127[.]0[.]0[.]1, as faixas 10/172/192) ou endpoints de metadados de nuvem (169[.]254[.]169[.]254). Isso permite ataques de Falsificação de Solicitação do Lado do Servidor (SSRF) não-cegos por meio dos endpoints de execução de fluxo ''/api/v1/run'' e ''/api/v1/run/advanced'', que podem ser acessados com uma chave de API. Um atacante que controla a URL da API Request pode acessar recursos internos, incluindo endpoints administrativos, serviços de metadados e bancos de dados internos, potencialmente levando à divulgação de informações e a mais ataques. O componente vulnerável utiliza uma URL fornecida pelo usuário (url) e envia a solicitação usando um cliente httpx.

Recomendações As versões anteriores à 1.7.0 devem ser atualizadas para a versão 1.7.0 ou posterior.