PT-2026-52163 · Ibm · Langflow Oss
Publicado
2026-06-24
·
Atualizado
2026-06-30
·
CVE-2026-10546
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
IBM Langflow OSS versões 1.0.0 through 1.9.3
Description
Um problema de Server-Side Request Forgery (SSRF) existe no componente de URL localizado em
src/lfx/src/lfx/components/data source/url.py. Isso é causado por uma condição de corrida de Time-of-Check/Time-of-Use (TOCTOU), que é um cenário onde um sistema verifica uma condição (como uma validação de segurança) e então usa o resultado, mas a condição muda entre a verificação e o uso. Esta falha pode ser explorada via DNS rebinding, uma técnica usada para ignorar restrições de Same-Origin Policy alterando o endereço IP associado a um nome de domínio após a validação inicial. Este problema impacta a confidencialidade dos dados em trânsito.Recommendations
Atualize o IBM Langflow OSS para uma versão posterior à 1.9.3.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Langflow Oss