CVE-2026-5027 в Langflow: path traversal ведёт к неаутентифицированному RCE

Коллеги, хочу обратить внимание в сфере кибербезопасности: в Langflow зафиксирована эксплуатация CVE-2026-5027.
- Path traversal в POST /api/v2/files: параметр filename не фильтруется, можно записывать файлы через '../'.
- Tenable сообщил об уязвимости; VulnCheck фиксирует эксплойты, Censys — ~7 000 публичных инстансов.
- Langflow по умолчанию допускает неаутентифицированный авто‑логин, что облегчает превращение записи файлов в RCE; пока массово пишут тестовые файлы.
Почему это важно: возможность удалённого выполнения кода на общедоступных системах — требует срочного внимания.
Проверили ли Вы инстансы и применили патчи?
#кибербезопасность #уязвимости #AI #Langflow


Последние комментарии
Комментариев пока нет.