Plateforme
python
Composant
langflow
Corrigé dans
1.7.1
1.7.1
La vulnérabilité CVE-2025-68477 affecte Langflow, une plateforme d'automatisation de flux de travail, et concerne un composant de requête HTTP. Ce composant permet d'effectuer des requêtes HTTP arbitraires sans validation adéquate, ce qui peut conduire à une exécution non autorisée de code ou à la divulgation d'informations sensibles. Les versions de Langflow affectées sont celles inférieures ou égales à 1.7.0. Une correction est disponible dans la version 1.7.1.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter le composant de requête HTTP pour envoyer des requêtes à n'importe quelle URL, y compris des adresses IP privées (127.0.0.1, 10/172/192) et les points de terminaison de métadonnées cloud (169.254.169.254). Cela permet de récupérer des informations sensibles stockées dans ces emplacements, telles que les clés d'API, les identifiants de service et les informations de configuration. De plus, l'attaquant peut utiliser cette vulnérabilité pour effectuer des attaques par déni de service (DoS) ou pour compromettre d'autres systèmes connectés au réseau. L'accès aux points de terminaison d'exécution de flux (/api/v1/run, /api/v1/run/advanced) via une simple clé API aggrave le risque.
Cette vulnérabilité a été publiée le 19 décembre 2025. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de l'absence de restrictions d'authentification sur les points de terminaison d'exécution de flux. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Organizations deploying Langflow in environments with internal services or cloud metadata endpoints are particularly at risk. Shared hosting environments where multiple users have access to Langflow flows also present a heightened risk, as a compromised flow from one user could potentially impact other users or the entire hosting infrastructure.
• python / langflow:
Get-Process -Name langflow | Select-Object -ExpandProperty Id• python / langflow: Examine Langflow flow definitions for API Request components with suspicious URLs or internal IP addresses.
• generic web: Monitor access logs for requests to /api/v1/run or /api/v1/run/advanced with unusual parameters.
• generic web: Check response headers for unexpected content or error codes originating from internal resources.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 7%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Langflow vers la version 1.7.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de configurer un pare-feu pour bloquer les requêtes sortantes vers des adresses IP privées et des points de terminaison de métadonnées cloud. De plus, il est possible de mettre en œuvre des règles WAF (Web Application Firewall) pour filtrer les requêtes HTTP suspectes. Enfin, une surveillance accrue des journaux d'accès et d'erreurs peut aider à détecter les tentatives d'exploitation de cette vulnérabilité.
Mettez à jour Langflow à la version 1.7.0 ou supérieure. Cela corrige la vulnérabilité SSRF dans le composant Requête API. La mise à jour peut être effectuée via le gestionnaire de paquets utilisé pour installer Langflow, tel que pip.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68477 est une vulnérabilité permettant l'exécution de requêtes HTTP arbitraires dans Langflow versions ≤1.7.0, conduisant potentiellement à la divulgation d'informations sensibles et à la compromission du système.
Vous êtes affecté si vous utilisez Langflow versions inférieures ou égales à 1.7.0. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution est de mettre à niveau Langflow vers la version 1.7.1 ou supérieure. En attendant, configurez un pare-feu et des règles WAF pour limiter les requêtes sortantes.
Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la probabilité est considérée comme moyenne en raison de la simplicité de l'exploitation.
Consultez le site web de Langflow ou leur page de sécurité pour obtenir l'avis officiel concernant CVE-2025-68477.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.