PT-2026-60865 · Ibm · Langflow Oss
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
IBM Langflow OSS versões 1.0.0 through 1.10.0
Description
Existe um problema no endpoint de API de validação de código que permite que usuários autenticados executem comandos arbitrários do sistema com os privilégios totais do processo do servidor. O endpoint 'POST /api/v1/validate/code' aceita código Python fornecido pelo usuário e o executa usando a função
exec() sem sandboxing, validação de entrada ou restrições de privilégios.Recommendations
Atualize o IBM Langflow OSS para uma versão posterior à 1.10.0.
Como mitigação temporária, restrinja o acesso ao endpoint 'POST /api/v1/validate/code'.
Correção
RCE
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Langflow Oss