CVE-2026-33497— Langflow 路径遍历漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-33497の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Langflow: /profile_pictures/{folder_name}/{file_name} endpoint file reading
ソース: NVD (National Vulnerability Database)
脆弱性説明
Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to version 1.7.1, in the download_profile_picture function of the /profile_pictures/{folder_name}/{file_name} endpoint, the folder_name and file_name parameters are not strictly filtered, which allows the secret_key to be read across directories. Version 1.7.1 contains a patch.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对路径名的限制不恰当(路径遍历)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Langflow 路径遍历漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。 Langflow 1.7.1之前版本存在路径遍历漏洞,该漏洞源于/profile_pictures/{folder_name}/{file_name}端点参数过滤不严格,可能导致跨目录读取secret_key。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| langflow-ai | langflow | < 1.7.1 | - |
II. CVE-2026-33497の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-33497のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · langflow-ai · 2026-03-24 · 4 CVEs total
| CVE-2026-33309 | 10.0 CRITICAL | Langflow has an Arbitrary File Write (RCE) via v2 API |
| CVE-2026-33475 | 9.1 CRITICAL | Langflow GitHub Actions Shell Injection |
| CVE-2026-33484 | 7.5 HIGH | Langflow has Unauthenticated IDOR on Image Downloads |
IV. 関連脆弱性
同じ製品: langflow
- CVE-2026-7700
langflow-ai langflow LambdaFilterComponent lambda_filter.p e - CVE-2026-7687
langflow-ai langflow Full Builtins code_parser.py CodeParser - CVE-2026-6600
langflow-ai langflow Frontend React Component Rendering edit - CVE-2026-6599
langflow-ai langflow Model Context Protocol Configuration AP - CVE-2026-6598
langflow-ai langflow Project Creation Endpoint projects.py e
同じベンダー: langflow-ai
- CVE-2026-7700
langflow-ai langflow LambdaFilterComponent lambda_filter.p e - CVE-2026-7687
langflow-ai langflow Full Builtins code_parser.py CodeParser - CVE-2026-6600
langflow-ai langflow Frontend React Component Rendering edit - CVE-2026-6599
langflow-ai langflow Model Context Protocol Configuration AP - CVE-2026-6598
langflow-ai langflow Project Creation Endpoint projects.py e
同じ弱点: CWE-22
- CVE-2026-8274
npitre cramfs-tools Directory cramfsck.c do_directory path t - CVE-2022-50956
WordPress Plugin amministrazione-aperta 3.7.3 Local File Rea - CVE-2026-8215
Industrial Application Software IAS Canias ERP RMI iasReques - CVE-2026-42605
AzuraCast: Path Traversal in `currentDirectory` Parameter En - CVE-2026-42574
apko dirFS has a symlink-following path traversal that allow
V. CVE-2026-33497へのコメント
まだコメントはありません