Escritura arbitraria de ficheros en Langflow
Langflow, versiones entre la 1.2.0 y 1.8.1.
Langflow ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a atacantes no autenticados escribir ficheros en cualquier lugar del sistema anfitrión (host), lo que podría derivar en una ejecución de código en remoto (RCE).
Actualizar el producto a la versión 1.9.0.
-
CVE-2026-33309: La capa de almacenamiento no realiza comprobaciones de contención de límites, el sistema depende completamente de la dependencia ‘ValidatedFileName‘ de la capa HTTP.
Este fallo de defensa en profundidad deja el endpoint ‘POST /api/v2/files‘ vulnerable a una escritura arbitraria de ficheros. El nombre de fichero de carga multiparte omite el protector de parámetros de ruta, lo que permite a atacantes no autenticados escribir ficheros en cualquier lugar del sistema anfitrión (host), lo que deriva en una Ejecución de Código en Remoto (RCE).
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33309 | Crítica | No | Langflow |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.