~/news/cve-2026-48519
CRITICALCVSS 9.6CVE-2026-4851923/06/2026 - 17:59

CVE-2026-48519 Langflow RCE

A vulnerabilidade permite a execução de código Python arbitrário em um servidor Langflow, por meio da feature 'Shareable Playground'. Isso ocorre porque a rota /api/v1/build_public_tmp não valida adequadamente o código fornecido no campo data.nodes[X].data.node.template.code.value. Um atacante pode explorar essa falha para executar comandos no servidor, sem necessidade de autenticação. O impacto real é a possibilidade de comprometer o servidor e acessar dados sensíveis.

RCELangflowunauthenticated
← voltarfonte original ↗

CVE: CVE-2026-48519

Severidade: CRITICAL

Resumo:

A vulnerabilidade permite a execução de código Python arbitrário em um servidor Langflow, por meio da feature 'Shareable Playground'. Isso ocorre porque a rota /api/v1/build_public_tmp não valida adequadamente o código fornecido no campo data.nodes[X].data.node.template.code.value. Um atacante pode explorar essa falha para executar comandos no servidor, sem necessidade de autenticação. O impacto real é a possibilidade de comprometer o servidor e acessar dados sensíveis.

CVSS: 9.6