Plataforma
python
Componente
langflow
Corrigido em
1.7.1
1.7.1
A vulnerabilidade CVE-2025-68477 afeta o componente Langflow, especificamente o componente de Requisição de API. Este componente permite a execução de requisições HTTP arbitrárias sem validação adequada, possibilitando o acesso a recursos internos e a exfiltração de dados. A vulnerabilidade afeta versões do Langflow anteriores ou iguais a 1.7.0 e foi corrigida na versão 1.7.1.
Um atacante pode explorar esta vulnerabilidade para realizar requisições HTTP arbitrárias através do Langflow. Isso inclui a capacidade de acessar endpoints de metadados de nuvem (como 169.254.169.254), redes internas (127.0.0.1, 10/172/192 ranges) e outros recursos protegidos. A ausência de validação de URL permite que um atacante injete URLs maliciosas, potencialmente levando à exfiltração de dados confidenciais, execução remota de código (se o Langflow for usado em um ambiente que permita tal execução) ou acesso a outros sistemas internos. A facilidade de invocar os endpoints de execução de fluxo com apenas uma chave de API aumenta o risco de exploração.
A vulnerabilidade foi divulgada publicamente em 2025-12-19. A ausência de um KEV listing indica que, até o momento, não há evidências de exploração ativa em larga escala. A existência de um Proof of Concept (PoC) público é provável, dada a natureza da vulnerabilidade, o que aumenta o risco de exploração por atores maliciosos. A avaliação de risco é considerada alta devido à facilidade de exploração e ao potencial impacto.
Organizations deploying Langflow in environments with internal services or cloud metadata endpoints are particularly at risk. Shared hosting environments where multiple users have access to Langflow flows also present a heightened risk, as a compromised flow from one user could potentially impact other users or the entire hosting infrastructure.
• python / langflow:
Get-Process -Name langflow | Select-Object -ExpandProperty Id• python / langflow: Examine Langflow flow definitions for API Request components with suspicious URLs or internal IP addresses.
• generic web: Monitor access logs for requests to /api/v1/run or /api/v1/run/advanced with unusual parameters.
• generic web: Check response headers for unexpected content or error codes originating from internal resources.
disclosure
Status do Exploit
EPSS
0.03% (percentil 7%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Langflow para a versão 1.7.1 ou superior, que corrige a vulnerabilidade. Enquanto a atualização não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso aos endpoints de execução de fluxo (/api/v1/run, /api/v1/run/advanced) usando autenticação forte e controle de acesso baseado em função. Implemente um Web Application Firewall (WAF) para bloquear requisições HTTP maliciosas. Monitore os logs do Langflow em busca de requisições suspeitas, especialmente aquelas que acessam endereços IP internos ou endpoints de metadados de nuvem. Após a atualização, verifique se a vulnerabilidade foi corrigida executando testes de penetração ou revisando o código.
Atualize Langflow para a versão 1.7.0 ou superior. Isso corrige a vulnerabilidade SSRF no componente Requisição de API. A atualização pode ser realizada através do gerenciador de pacotes utilizado para instalar Langflow, como pip.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68477 é uma vulnerabilidade de requisição de API no Langflow que permite a execução de requisições HTTP arbitrárias, potencialmente expondo dados sensíveis. Afeta versões ≤1.7.0.
Sim, se você estiver utilizando uma versão do Langflow anterior ou igual a 1.7.0, você está afetado por esta vulnerabilidade.
A correção é atualizar o Langflow para a versão 1.7.1 ou superior. Enquanto isso não for possível, implemente medidas de mitigação como WAF e restrição de acesso.
Embora não haja confirmação de exploração ativa em larga escala, a existência de um PoC público aumenta o risco de exploração.
Consulte o site oficial do Langflow ou o repositório do projeto no GitHub para obter o advisory oficial e informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.