प्लेटफ़ॉर्म
python
घटक
langflow
में ठीक किया गया
1.7.2
1.7.1
CVE-2026-33497 एक पथ पारगमन भेद्यता है जो Langflow के संस्करण 1.7.0 या उससे कम को प्रभावित करती है। यह भेद्यता हमलावरों को फ़ाइल पथों में हेरफेर करने और लक्षित निर्देशिका के बाहर की फ़ाइलों तक पहुँचने की अनुमति देती है। इस भेद्यता का सफलतापूर्वक शोषण करने से संवेदनशील जानकारी का प्रकटीकरण हो सकता है। संस्करण 1.7.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Langflow एप्लिकेशन के फ़ाइल सिस्टम तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। हमलावर GET /api/v1/files/profilepictures/{foldername}/{filename} एंडपॉइंट पर विशेष रूप से तैयार किए गए पथों का उपयोग करके लक्षित निर्देशिका के बाहर फ़ाइलों को पुनर्प्राप्त कर सकते हैं। उदाहरण के लिए, ../secretkey जैसे पथों का उपयोग करके, हमलावर एप्लिकेशन के कॉन्फ़िगरेशन फ़ाइलों या अन्य संवेदनशील डेटा तक पहुँच सकते हैं। इस भेद्यता का उपयोग एप्लिकेशन सर्वर पर अन्य संवेदनशील डेटा तक पहुँचने के लिए भी किया जा सकता है, जिससे डेटा उल्लंघन और संभावित सिस्टम समझौता हो सकता है।
CVE-2026-33497 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं। हालाँकि, सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इस भेद्यता का शोषण करना आसान हो जाता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है। NVD ने 2026-03-20 को इस भेद्यता को प्रकाशित किया।
Organizations utilizing Langflow for AI agent development and deployment are at risk, particularly those running versions prior to 1.7.1. This includes teams relying on Langflow's profile picture functionality and those who have not implemented robust file access controls. Shared hosting environments where multiple users share the same Langflow instance are also at increased risk.
• python / server:
import os
import re
def check_langflow_secret_key(log_file):
with open(log_file, 'r') as f:
for line in f:
if re.search(r'secret_key=', line):
return True
return False
# Example usage:
log_file = '/path/to/langflow/logs/error.log'
if check_langflow_secret_key(log_file):
print('Potential secret_key exposure detected!')
else:
print('No secret_key exposure detected.')• generic web:
curl -I 'http://your-langflow-instance/profile_pictures/../../../../secret_key' # Check for directory traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVE-2026-33497 को कम करने के लिए, Langflow को तुरंत संस्करण 1.7.1 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके फ़ाइल पथों को मान्य किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि वे लक्षित निर्देशिका के भीतर रहें। इसके अतिरिक्त, फ़ाइल एक्सेस नियंत्रण को कड़ा किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुँचने की अनुमति हो। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, फ़ाइल पथों को पुनर्प्राप्त करने का प्रयास करके और यह सुनिश्चित करके कि वे लक्षित निर्देशिका के भीतर ही हैं।
Actualice Langflow a la versión 1.7.1 o superior. Esta versión contiene una corrección para la vulnerabilidad de lectura de archivos a través del endpoint /profile_pictures/{folder_name}/{file_name}.भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33497 Langflow में एक पथ पारगमन भेद्यता है जो हमलावरों को फ़ाइल पथों में हेरफेर करने और संवेदनशील फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Langflow के संस्करण 1.7.0 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33497 को ठीक करने के लिए, Langflow को तुरंत संस्करण 1.7.1 में अपडेट करें।
CVE-2026-33497 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात अभियान नहीं हैं, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
Langflow के आधिकारिक सलाहकार के लिए, कृपया Langflow की वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।