python · langflowCrítico
Langflow: endpoint de upload sem autenticação permite exaustão de disco e vazamento de caminho absoluto
O endpoint POST /api/v1/upload/{flow_id} foi removido ou corrigido para exigir autenticação, verificar propriedade do fluxo e respeitar o limite max_file_size_upload.
O que mudou
O endpoint POST /api/v1/upload/{flow_id} foi removido ou corrigido para exigir autenticação, verificar propriedade do fluxo e respeitar o limite max_file_size_upload. Antes, não havia autenticação nem limite de tamanho de arquivo, permitindo uploads arbitrários não autenticados que podiam causar exaustão de disco e expor caminhos absolutos do sistema.
Quem isso afeta
Todas as instâncias Langflow anteriores à versão 1.9.1 que expõem o endpoint de upload.
O que fazer hoje
Atualize para Langflow 1.9.1 ou superior para aplicar autenticação, verificação de propriedade do fluxo e limite de tamanho de arquivo.
A esteira
Coletado→
Auditado→
Redigido→
Publicado