python · langflowCrítico
Langflow: Execução remota de código não autenticada via Shareable Playground
A funcionalidade Shareable Playground permite que usuários não autenticados executem código Python arbitrário manipulando o campo `data.
O que mudou
A funcionalidade Shareable Playground permite que usuários não autenticados executem código Python arbitrário manipulando o campo `data.nodes[X].data.node.template.code.value` na rota `/api/v1/build_public_tmp`.
Quem isso afeta
Qualquer implantação do Langflow com o recurso Shareable Playground (Public Flows) ativado.
O que fazer hoje
Desative imediatamente o recurso Shareable Playground ou restrinja o acesso ao endpoint `/api/v1/build_public_tmp` até que um patch seja aplicado.
A esteira
Coletado→
Auditado→
Redigido→
Publicado