python · langflowCrítico
Langflow: IDOR em /api/v1/responses permite execução de flows de outros usuários
Uma vulnerabilidade IDOR no endpoint `/api/v1/responses` permitia que atacantes autenticados executassem qualquer flow especificando o ID de flow de outro usuário.
O que mudou
Uma vulnerabilidade IDOR no endpoint `/api/v1/responses` permitia que atacantes autenticados executassem qualquer flow especificando o ID de flow de outro usuário. Corrigido no Langflow 1.9.1 ao reforçar verificações de propriedade do usuário em `get_flow_by_id_or_endpoint_name`.
Quem isso afeta
Todas as instâncias do Langflow anteriores a 1.9.1; usuários autenticados podiam executar flows arbitrários de outros usuários.
O que fazer hoje
Atualize para Langflow 1.9.1 ou superior imediatamente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado