Inyección de shell remota en GitHub Actions de Langflow
El paquete ‘logspace-ai/langflow’ en todas las versiones anteriores a 1.3.5.
Huseyingulsin ha reportado 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante no autenticado la inyección remota de shell en varios flujos de trabajo de GitHub Actions del repositorio Langflow.
Se recomienda actualizar el paquete a la versión 1.9.0.
CVE-2026-33475: vulnerabilidad de inyección remota de shell sin autenticación en varios flujos de trabajo GitHub Actions del repositorio Langflow. La interpolación no sanitiza las variables de contexto de GitHub. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar comandos de shell arbitrarios a través de un nombre de rama o título de solicitud de extracción malicioso, provocando a su vez, la exfiltración de secretos, la manipulación de la infraestructura o el compromiso de la cadena de suministro durante la ejecución de CI/CD.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33475 | Crítica | No | Langflow |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.