UNKNOWNCVE-2026-5027
Langflow - अपलोड_यूज़र_फ़ाइल के माध्यम से पाथ ट्रैवर्सल आर्बिट्रेरी फ़ाइल राइट
प्लेटफ़ॉर्म
python
कॉम्पोनेन्ट
langflow
'POST /api/v2/files' एंडपॉइंट मल्टीपार्ट फ़ॉर्म डेटा से 'filename' पैरामीटर को सैनिटाइज़ नहीं करता है, जिससे एक हमलावर पाथ ट्रैवर्सल सीक्वेंस ('../') का उपयोग करके फ़ाइल सिस्टम पर मनमाने स्थानों पर फ़ाइलें लिख सकता है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें