CVE-2026-42048

Nome do Software Vulnerável e Versões Afetadas Langflow versões anteriores a 1.9.0

Description Langflow é uma ferramenta para construção e implantação de agentes e fluxos de trabalho baseados em IA. Uma falha de path traversal existe no endpoint da API de Knowledge Bases "DELETE /api/v1/knowledge bases" dentro da função delete knowledge bases bulk(). O problema ocorre porque os nomes das bases de conhecimento fornecidos pelo usuário no parâmetro kb names são concatenados diretamente em caminhos de arquivos sem a devida sanitização ou validação de limite. Isso permite que um invasor autenticado utilize sequências de travessia (ex: ../) para escapar do diretório pretendido e acionar a função shutil.rmtree() para excluir diretórios arbitrários no sistema de arquivos do servidor. Isso pode levar à perda de dados entre locatários, exclusão de arquivos críticos do aplicativo e potencial interrupção do serviço.

Recommendations Atualizar para a versão 1.9.0. Como medida paliativa temporária, restrinja o acesso ao endpoint da API "DELETE /api/v1/knowledge bases" para minimizar o risco de exploração.