प्लेटफ़ॉर्म
python
घटक
langflow
में ठीक किया गया
1.7.1
1.7.1
Langflow में API Request घटक में एक भेद्यता पाई गई है, जो HTTP अनुरोधों को भेजने की अनुमति देता है। यह घटक URL को केवल सामान्यीकृत करता है और बुनियादी प्रारूप जाँच करता है, लेकिन निजी IP रेंज या क्लाउड मेटाडेटा एंडपॉइंट को ब्लॉक नहीं करता है। इस भेद्यता के कारण, हमलावर API कुंजी का उपयोग करके प्रवाह निष्पादन एंडपॉइंट को कॉल करके आंतरिक संसाधनों तक पहुँच सकता है। यह भेद्यता Langflow के संस्करण 1.7.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.7.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Langflow एप्लिकेशन के भीतर आंतरिक संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। हमलावर आंतरिक API, डेटाबेस या अन्य संवेदनशील सेवाओं तक पहुँच सकते हैं, जिससे डेटा उल्लंघन, सिस्टम समझौता या सेवा व्यवधान हो सकता है। विशेष रूप से, हमलावर क्लाउड मेटाडेटा एंडपॉइंट (169.254.169.254) तक पहुँच सकता है, जिससे क्लाउड वातावरण में संवेदनशील जानकारी उजागर हो सकती है। चूंकि प्रवाह निष्पादन एंडपॉइंट केवल API कुंजी के साथ आह्वान किए जा सकते हैं, इसलिए हमलावर को API कुंजी प्राप्त करने की आवश्यकता होती है, जो प्रमाणीकरण तंत्र में कमजोरियों के माध्यम से प्राप्त की जा सकती है।
यह भेद्यता सार्वजनिक रूप से 2025-12-19 को घोषित की गई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है। इस भेद्यता की संभावना मध्यम है क्योंकि यह API कुंजी प्रमाणीकरण पर निर्भर करती है, जो कमजोर हो सकती है।
Organizations deploying Langflow in environments with internal services or cloud metadata endpoints are particularly at risk. Shared hosting environments where multiple users have access to Langflow flows also present a heightened risk, as a compromised flow from one user could potentially impact other users or the entire hosting infrastructure.
• python / langflow:
Get-Process -Name langflow | Select-Object -ExpandProperty Id• python / langflow: Examine Langflow flow definitions for API Request components with suspicious URLs or internal IP addresses.
• generic web: Monitor access logs for requests to /api/v1/run or /api/v1/run/advanced with unusual parameters.
• generic web: Check response headers for unexpected content or error codes originating from internal resources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (7% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-68477 को कम करने के लिए, Langflow को संस्करण 1.7.1 में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो API Request घटक के उपयोग को सीमित करने के लिए अस्थायी समाधान लागू करें। यह URL सत्यापन को मजबूत करके, निजी IP रेंज और क्लाउड मेटाडेटा एंडपॉइंट को ब्लॉक करके, और API कुंजी प्रबंधन को सख्त करके किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण HTTP अनुरोधों को ब्लॉक करना भी एक विकल्प है। अपग्रेड के बाद, यह सत्यापित करें कि API Request घटक अब आंतरिक संसाधनों तक पहुँचने में सक्षम नहीं है।
Langflow को संस्करण 1.7.0 या उच्चतर में अपडेट करें। यह API Request घटक में SSRF भेद्यता को ठीक करता है। अपडेट को Langflow स्थापित करने के लिए उपयोग किए जाने वाले पैकेज मैनेजर के माध्यम से किया जा सकता है, जैसे कि pip।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68477 Langflow के API Request घटक में एक भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुँचने की अनुमति देती है।
यदि आप Langflow के संस्करण 1.7.0 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Langflow को संस्करण 1.7.1 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो API Request घटक के उपयोग को सीमित करने के लिए अस्थायी समाधान लागू करें।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन इसका शोषण किया जा सकता है।
Langflow की वेबसाइट या GitHub रिपॉजिटरी पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।