Mehrere Schwachstellen (CVE-2025-33244, CVE-2026-30871, CVE-2026-30872, CVE-2026-32721, CVE-2026-33309, CVE-2026-33475) in Langflow
⚠️ CVE-Referenzen:
CVE-2025-33244
CVE-2026-30871
CVE-2026-30872
CVE-2026-32721
CVE-2026-33309
CVE-2026-33475
Zusammenfassung
Eine kritische Schwachstelle in Langflow, einem Tool zum Erstellen von KI-gesteuerten Agenten, ermöglicht es Angreifern, beliebige Befehle auszuführen. Die Sicherheitslücke betrifft die GitHub-Actions-Workflows und kann durch die unsanitierte Interpolation von benutzerkontrollierten GitHub-Kontext-Variablen in Shell-Befehle ausgenutzt werden. Dadurch können Angreifer Geheimnisse wie den GITHUB_TOKEN abgreifen und die CI/CD-Prozesse manipulieren. Ein Upgrade auf Version 1.9.0 schließt diese Sicherheitslücke.
Langflow-ai - Langflow - CRITICAL - CVE-2026-33475.
Langflow, a tool designed for building AI-powered agents, is vulnerable to a shell injection issue affecting its GitHub Actions workflows. This vulnerability permits unauthenticated attackers to execute arbitrary commands by exploiting the unsanitized interpolation of user-controlled GitHub context variables in shell commands. Attackers can leverage this flaw to exfiltrate secrets like the GITHUB_TOKEN, potentially leading to severe supply chain compromises and unauthorized manipulation of CI/CD processes. Upgrading to version 1.9.0 patches the vulnerability and protects against these attack vectors.
Quelle: securityvulnerability.io