PT-2026-35976 · Agentflow · Agentflow
Publicado
2026-04-29
·
Atualizado
2026-04-29
·
CVE-2026-7466
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
AgentFlow (versões afetadas não especificadas)
Descrição
Um problema de execução arbitrária de código existe onde invasores podem executar arquivos de pipeline Python locais. Isso ocorre ao fornecer um parâmetro
pipeline path controlado pelo usuário para os endpoints "POST /api/runs" e "POST /api/runs/validate". Isso permite que requisições à API local carreguem e executem arquivos de pipeline Python existentes no disco, resultando na execução de código no contexto do usuário que executa a aplicação.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Agentflow