Kerentanan  ·  2026-07-09

Langflow Authorization Bypass (IDOR) — Ditambahkan ke CISA KEV, Secara Aktif Dieksploitasi untuk Cross-Tenant Credential Harvesting

KerentananHigh dampakGlobalCVE-2026-55255
CISA menambahkan CVE-2026-55255, kerentanan authorization-bypass Langflow (CWE-639, user-controlled key), ke katalog Known Exploited Vulnerabilities-nya pada 7 Juli 2026, mengonfirmasi eksploitasi aktif. Cacat ini memungkinkan penyerang yang terautentikasi untuk menjalankan flow pengguna lain dengan memasok ID flow korban, mengekspos secrets dan cloud credentials yang tertanam dalam flows.
Ini adalah pertama kalinya platform AI-agent orchestration/workflow muncul dalam katalog CISA KEV, mengonfirmasi bahwa deployment Langflow secara aktif menjadi target untuk credential harvesting dan lateral movement ke cloud/LLM-provider accounts yang terhubung — ancaman langsung yang dikonfirmasi secara operasional terhadap infrastruktur pengembangan AI.
Penyerang yang terautentikasi menentukan flow UUID korban dalam permintaan ke /api/v1/responses (atau endpoint serupa) untuk menjalankan flow pengguna lain, memanen API keys tertanam, cloud credentials, dan LLM secrets yang disimpan dalam flow tersebut — insecure direct object reference melalui user-controlled key.
Langflow (semua versi sebelum patch yang berisi IDOR /api/v1/responses)
Terapkan patch vendor Langflow (per GHSA-qrpv-q767-xqq2); agensi federal diwajibkan untuk melakukan remediasi sebelum 2026-07-10 per CISA BOD 26-04; rotasi kredensial apa pun yang sebelumnya disimpan dalam exposed Langflow flows.
CISA KEV CatalogBleepingComputer - CISA orders feds to prioritize patching Langflow auth bypass flawThe Hacker News - CISA Adds 4 Actively Exploited Adobe, Joomla, and Langflow Flaws to KEV
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →