BDU:2026-06918
Уязвимость конечной точки прикладного программного интерфейса /api/v1/build_public_tmp/{flow_id}/flow инструмента для создания и развёртывания агентов и рабочих процессов Langflow, позволяющая нарушителю выполнить произвольный код
📄 Описание
Уязвимость конечной точки прикладного программного интерфейса /api/v1/build_public_tmp/{flow_id}/flow инструмента для создания и развёртывания агентов и рабочих процессов Langflow связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
🖥️ Уязвимое ПО
Сообщество свободного программного обеспечения
Наименование ПО: Langflow
Версия ПО: до 1.8.2 (Langflow)
Тип ПО: Прикладное ПО информационных систем, ПО для разработки ИИ
ОС / платформа: —
⚙️ Технические сведения
📊 CVSS
CVSS 2.0
AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 3.0
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 4.0
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
⚠️ Уровень опасности
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)
🔗 Источники и меры
🔗 https://github.com/langflow-ai/langflow/security/a...
🔗 https://github.com/langflow-ai/langflow/commit/73b...
🔗 https://medium.com/@aviral23/cve-2026-33017-how-i-...
🔗 https://www.cisa.gov/known-exploited-vulnerabiliti...
🔗 https://github.com/MaxMnMl/langflow-CVE-2026-33017...
🔗 https://darkwebinformer.com/cisa-kev-catalog/
🏷️ Идентификаторы
📅 Даты