CRITICAL🇬🇧 English

CVE-2026-33309

Langflow: Arbitrary File Write i RCE przez path traversal w endpoincie upload

CVSS 9.9v3.1pub. 2026-03-24

Wersje Langflow od 1.2.0 do 1.8.1 zawierają niekompletną poprawkę CVE-2025-68478, która pozwala uwierzytelnionemu atakującemu na zapis pliku w dowolnym miejscu systemu plików hosta poprzez endpoint przesyłania plików. Luka prowadzi bezpośrednio do Remote Code Execution (RCE) i otrzymała ocenę CVSS 9.9.

Pokaż oryginał (EN)

Langflow is a tool for building and deploying AI-powered agents and workflows. Versions 1.2.0 through 1.8.1 have a bypass of the patch for CVE-2025-68478 (External Control of File Name), leading to the root architectural issue within `LocalStorageService` remaining unresolved. Because the underlying storage layer lacks boundary containment checks, the system relies entirely on the HTTP-layer `ValidatedFileName` dependency. This defense-in-depth failure leaves the `POST /api/v2/files/` endpoint vulnerable to Arbitrary File Write. The multipart upload filename bypasses the path-parameter guard, allowing authenticated attackers to write files anywhere on the host system, leading to Remote Code Execution (RCE). Version 1.9.0 contains an updated fix.

🤖 Analiza AI
Jak działa

Mechanizm obronny oparty wyłącznie na walidacji nazwy pliku na poziomie warstwy HTTP (dependency `ValidatedFileName`) może zostać ominięty przez odpowiednio spreparowaną nazwę pliku w żądaniu multipart upload kierowanym do endpointu `POST /api/v2/files/`. Warstwa przechowywania danych (`LocalStorageService`) nie wykonuje samodzielnie żadnych sprawdzeń granic ścieżki (boundary containment checks), co stanowi architektoniczną wadę systemu. Dzięki temu atakujący może przeprowadzić path traversal i zapisać plik w dowolnej lokalizacji na serwerze, omijając zabezpieczenie parametru ścieżki. Zapis złośliwego pliku w odpowiednim miejscu systemu umożliwia następnie wykonanie dowolnego kodu (RCE).

Skutki

Uwierzytelniony atakujący może zapisać dowolny plik w wybranym miejscu na hoście, co w konsekwencji prowadzi do Remote Code Execution (RCE) oraz pełnej kompromitacji poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Langflow do wersji 1.9.0, która zawiera poprawioną implementację zabezpieczeń. Należy zastosować boundary containment checks bezpośrednio w warstwie `LocalStorageService`, a nie polegać wyłącznie na walidacji HTTP.

Kogo dotyczy

Langflow w wersjach od 1.2.0 do 1.8.1 (włącznie)

Uwagi

Podatność stanowi bypass niekompletnej poprawki dla CVE-2025-68478. Problem architektoniczny polega na braku samodzielnej weryfikacji granic ścieżki w komponencie LocalStorageService i przenoszeniu całego ciężaru walidacji na warstwę HTTP.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Langflow

    APP
    Langflow
    1.2.0 – 1.9.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33017CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Langflow: nieuwierzytelniony RCE przez endpoint budowania publicznych przepływów

CVE-2025-34291CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Langflow: przejęcie konta i RCE przez błędną konfigurację CORS

CVE-2025-3248CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Nieuwierzytelnione RCE w Langflow poprzez wstrzyknięcie kodu w endpoint /api/v1/validate/code

CVE-2026-10140CRITICAL9.6ten sam produkt

IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of ...

CVE-2026-10134CRITICAL10.0ten sam produkt

IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process...

CVE-2026-33309 — Langflow: Arbitrary File Write i RCE przez path traversal w endpoincie upload — CRITICAL 9.9 | CVEbaza.pl