IBM Langflow Desktop SSRF绕过漏洞(CVE-2026-3341)公告

IBM Langflow Desktop 1.0.0 - 1.9.2 DNS Rebinding Bypasses SSRF Protection Allowing Access to Internal Services 漏洞概述 CVEID: CVE-2026-3341 描述: IBM Langflow 存在服务器端请求伪造（SSRF）漏洞。攻击者可以利用此漏洞发送未经授权的请求，可能导致网络枚举或其他攻击。 CWE: CWE-918: Server-Side Request Forgery (SSRF) CVSS Source: IBM CVSS Base score: 5.4 CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N) 影响范围 受影响产品: IBM Langflow Desktop 1.0.0 - 1.9.2 修复方案 建议: IBM 强烈建议立即通过升级到 Langflow Desktop 版本 1.9.3 来解决该漏洞。 参考链接 Complete CVSS v3 Guide On-line Calculator v3 相关信息 IBM Security Engineering Web Portal IBM Product Security Incident Response Blog 免责声明 根据论坛事件响应和安全团队（FIRST），通用漏洞评分系统（CVSS）是一个行业标准，旨在传达漏洞严重性和帮助确定响应的紧迫性和优先级。IBM 提供 CVSS 评分“按原样”，不包含任何明示或暗示的保证，包括对适销性和特定用途适用性的隐含保证。客户负责评估任何实际或潜在安全漏洞的影响。IBM 定期更新其产品组合中包含的组件记录。作为该努力的一部分，如果 IBM 发现以前未识别的漏洞影响产品/服务清单中的项目，IBM 将更新漏洞记录，无论日期如何。包含较旧的 CVEID 并不表明引用的产品自该日期以来已被 IBM 使用，也不表明 IBM 在该日期知道该漏洞。我们正努力让客户了解相关漏洞，随着我们变得了解它们。引用的“受影响产品和版本”旨在仅包括 IBM 支持和未过期的产品和版本。因此，未提及不受支持或过期的产品和版本在本安全公告中并不构成 IBM 确定它们不受漏洞影响的决定。对本安全公告中一个或多个不受支持版本的引用不会为 IBM 提供修复任何不受支持或过期产品或版本的义务。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

IBM Langflow Desktop SSRF绕过漏洞(CVE-2026-3341)公告

目标达成感谢每一位支持者 — 我们达成了 100% 目标！