Platform
python
Component
langflow
Opgelost in
0.0.1
CVE-2026-5027 is een Path Traversal kwetsbaarheid in Langflow. Door het ontbreken van sanitatie op de 'filename' parameter, kan een aanvaller bestanden schrijven naar willekeurige locaties op het bestandssysteem. Dit heeft een hoge impact. De kwetsbaarheid treft Langflow versie 0-0. Er is momenteel geen officiële patch beschikbaar.
CVE-2026-5027 heeft invloed op Langflow, waardoor een aanvaller bestanden naar willekeurige locaties op het bestandssysteem kan schrijven. De kwetsbaarheid bevindt zich in de '/api/v2/files'-endpoint, specifiek het ontbreken van sanitatie van de 'filename'-parameter die via multipart-formuliergegevens wordt ontvangen. Een aanvaller kan dit misbruiken door padtraversaalreeksen ('../') in de bestandsnaam te gebruiken om kritieke bestanden te overschrijven of kwaadaardige bestanden te uploaden. De CVSS-severity is 8.8 (Hoog), wat een aanzienlijk risico aangeeft. Het ontbreken van een beschikbare fix verergert de situatie verder en vereist onmiddellijke aandacht. Het ontbreken van een KEV (Kernel Exploit Vulnerability) geeft aan dat er geen publiekelijk bekende exploitatie is gedocumenteerd, maar de kwetsbaarheid blijft uitbuitbaar.
Een aanvaller zou deze kwetsbaarheid kunnen misbruiken door een POST-verzoek naar de '/api/v2/files'-endpoint te sturen met een 'filename' dat padtraversaalreeksen bevat. Bijvoorbeeld, een bestandsnaam als '.../etc/passwd' zou het systeemwachtwoordbestand kunnen overschrijven. Het succes van de exploitatie hangt af van de rechten van de gebruiker die het Langflow-proces uitvoert. Als het proces met verhoogde rechten wordt uitgevoerd, kan de impact verwoestend zijn. Het ontbreken van authenticatie op de endpoint (indien aanwezig) zou de exploitatie verder vergemakkelijken.
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix beschikbaar is, richt de onmiddellijke mitigatie zich op het vermijden van blootstelling van de '/api/v2/files'-endpoint. Dit kan worden bereikt door de endpoint te deactiveren, de toegang te beperken tot geauthenticeerde en geautoriseerde gebruikers, of door een robuuste bestandsnaamvalidatie in de Langflow-code te implementeren. De validatie moet het verwijderen van padtraversaalreeksen ('../') omvatten en verifiëren dat de bestandsnaam overeenkomt met een verwacht patroon. Het monitoren van systeemlogboeken op verdachte toegangs- of schrijfpogingen van bestanden is eveneens cruciaal. Langflow-gebruikers worden ten zeerste aangeraden om op de hoogte te blijven van eventuele updates of patches die door de ontwikkelaars worden uitgebracht.
Actualice Langflow a una versión posterior a la 0. Esto solucionará la vulnerabilidad de path traversal. Asegúrese de que la nueva versión implemente una sanitización adecuada del parámetro 'filename' al procesar archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Padtraversaal is een aanvalstechniek waarmee een aanvaller toegang kan krijgen tot bestanden en mappen buiten de bedoelde webmap.
Als u een versie van Langflow gebruikt die niet is gepatcht, is deze waarschijnlijk kwetsbaar. Raadpleeg de Langflow-documentatie voor de betrokken versies.
Isoleer het getroffen systeem onmiddellijk van het netwerk en voer een grondige beveiligingsaudit uit. Overweeg om te herstellen van een schone back-up.
Er zijn kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren. U kunt ook handmatige tests uitvoeren met behulp van tools zoals Burp Suite.
Er is momenteel geen fix beschikbaar. Houd de officiële Langflow-kanalen in de gaten voor updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.