python · langflowCrítico
Langflow: Vulnerabilidade de extração de symlink em BaseFileComponent permite leitura arbitrária de arquivos e possível RCE
Uma vulnerabilidade em BaseFileComponent.
O que mudou
Uma vulnerabilidade em BaseFileComponent._unpack_bundle permite extração de symlink de arquivos tar, possibilitando leitura arbitrária de arquivos e potencial RCE via roubo de segredo JWT.
Quem isso afeta
Qualquer usuário do Langflow que utiliza componentes baseados em BaseFileComponent (Docling, Docling Serve, Read File, NVIDIA Retriever Extraction, Video File, Unstructured API) para ingerir dados controlados pelo usuário.
O que fazer hoje
Atualize para Langflow 1.9.2 ou superior imediatamente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado