目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-42867— Langflow 知识基础 API 创建端点路径遍历漏洞

CVSS 6.5 · Medium EPSS 0.28% · P20
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-42867 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Langflow: Path Traversal in Knowledge Bases API via Creation Endpoint
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to 1.9.0, Langflow is vulnerable to Path Traversal in the Knowledge Bases API (POST /api/v1/knowledge_bases). This occurs because user-supplied knowledge base names are used directly to create file paths without proper sanitization or containment checks. An authenticated attacker can exploit this flaw to create directories and write files anywhere on the server's filesystem. This vulnerability is fixed in 1.9.0.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对路径名的限制不恰当(路径遍历)
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
langflow-ailangflow < 1.9.0 -

二、漏洞 CVE-2026-42867 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-42867 的情报信息

登录查看更多情报信息。

CVE-2026-42867 补丁与修复 (1)

CVE-2026-42867 厂商安全公告 (1)

同批安全公告 · langflow-ai · 2026-06-23 · 共 9 条

CVE-2026-552559.9 CRITICALLangflow IDOR漏洞允许攻击者访问其他用户的流
CVE-2026-485199.6 CRITICALLangflow 可分享游乐场未授权远程代码执行漏洞
CVE-2026-554479.6 CRITICALLangflow BaseFileComponent节点任意文件读取及远程代码执行漏洞
CVE-2026-554509.3 CRITICALLangflow 未授权文件上传导致拒绝服务与信息泄露
CVE-2026-337608.8 HIGHLangflow Monitor API 7个端点存在越权漏洞
CVE-2026-554467.5 HIGHLangflow 未授权DoS漏洞通过多部分表单边界文件上传
CVE-2026-485206.1 MEDIUMLangflow 未授权可分享沙盒本地或 S3 文件读取漏洞
CVE-2026-554236.1 MEDIUMLangflow 退出登录按钮未清除会话漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-42867

暂无评论


发表评论