PT-2025-52500 · Langflow · Langflow

J1Vvoo

·

Publicado

2025-12-19

·

Atualizado

2026-03-24

·

CVE-2025-68478

CVSS v3.1

7.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
Nome do Software Vulnerável e Versões Afetadas Versões do Langflow anteriores à 1.7.0
Descrição O Langflow é uma ferramenta para construir e implantar agentes e fluxos de trabalho baseados em IA. Antes da versão 1.7.0, especificar um caminho arbitrário no fs path do corpo da requisição permite a criação ou sobrescrita de arquivos no servidor nesse caminho especificado. Não há restrições quanto ao caminho, normalização ou diretórios permitidos, o que significa que caminhos absolutos, como /etc/poc.txt, são interpretados literalmente. Isso pode permitir a manipulação arbitrária de arquivos.
Recomendações Atualize para a versão 1.7.0 ou posterior.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-610CWE-73

Identificadores relacionados

CVE-2025-68478
GHSA-F43R-CC68-GPX4
PYSEC-2025-125

Produtos afetados

Langflow