Ejecución remota de código en el agente CSV de Langflow
Langflow en la versión 1.8.0rc2 y todas las anteriores.
amante de la web12, andifilhohub y Adán-Aghili han informado sobre 1 vulnerabilidad crítica que en caso de ser explotada, podría provocar la ejecución remota de código completa.
No hay ninguna actualización pendiente, por lo que se recomienda:
- Establecer el parámetro ‘allow_dangerous_code=False’ de forma predeterminada o eliminarlo.
- Exponer un interruptor de IU con Default: False.
CVE-2026-27966: el nodo Agente CSV de Langflow codifica ‘allow_dangerous_code=True’, lo que expone la herramienta REPL de Python de LangChain ( python_repl_ast). Como resultado, un atacante podría ejecutar comandos arbitrarios de Python y del sistema operativo en el servidor mediante la inyección de prompt, tomar el control total del entorno del servidor, lo que provoca una ejecución remota de código (RCE) completa en el recurso afectado.
Para más información, consulte el enlace de las referencias.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-27966 | Crítica | No | Langflow |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.