CVE-2026-55255

Nome do Software Vulnerável e Versões Afetadas langflow versões anteriores a 1.9.1

Description Uma Referência Direta a Objeto Insegura (IDOR) existe no endpoint '/api/v1/responses'. Este problema permite que um invasor autenticado execute qualquer fluxo pertencente a outro usuário ao especificar o ID do fluxo da vítima na requisição. A falha está localizada na função auxiliar get flow by id or endpoint name(), que consulta o banco de dados por fluxos via UUID sem verificar se o usuário autenticado é o proprietário do fluxo solicitado. Isso pode levar à exposição de dados sensíveis processados pelos fluxos da vítima e ao consumo não autorizado de seus recursos.

Recommendations Atualize para a versão 1.9.1.