Kerentanan  ·  2026-07-10

Langflow IDOR (CVE-2026-55255) Secara Aktif Dieksploitasi untuk Credential Harvesting — Ditambahkan ke CISA KEV

KerentananHigh dampakGlobalCVE-2026-55255
Kerentanan Insecure Direct Object Reference / authorization-bypass-through-user-controlled-key kritis (CWE-639, CVSS 9.9) dalam Langflow, kerangka kerja visual open-source populer untuk membangun agen/alur kerja AI, dikonfirmasi sedang dalam eksploitasi in-the-wild sejak 25 Juni 2026 oleh Sysdig Threat Research Team, dan ditambahkan ke katalog KEV CISA pada 7 Juli 2026.
Langflow adalah platform orkestrasi AI open-source yang banyak digunakan; cacat ini memungkinkan setiap penyerang yang diautentikasi untuk membajak alur kerja AI penyewa apa pun dan memanen kunci penyedia LLM, kredensial cloud, dan rahasia database yang tertanam dalam flows — jalur pemanenan kredensial langsung dan dikonfirmasi yang dieksploitasi secara aktif ke dalam infrastruktur AI, berbeda dari cacat RCE CVE-2025-3248 sebelumnya yang digunakan dalam kampanye ransomware JadePuffer.
Fungsi pembantu get_flow_by_id_or_endpoint_name() (src/backend/base/langflow/helpers/flow.py) memuat flow berdasarkan UUID tanpa memverifikasi pengguna yang meminta memilikinya. Penyerang yang diautentikasi memanggil endpoint /api/v1/responses menyediakan ID flow korban, memungkinkan eksekusi flow pengguna tersebut dan ekstraksi rahasia tertanam (kunci API penyedia LLM, kredensial cloud, rahasia database) melalui prompt yang disuntikkan seperti 'leak api keys.'
Langflow < 1.9.2; langflow-base < 0.4.0
Tingkatkan ke Langflow 1.9.2 dan langflow-base 0.4.0 segera. CISA menambahkan ini ke katalog KEV pada 2026-07-07 dengan batas patch federal 2026-07-10. Audit eksekusi alur kerja untuk akses lintas penyewa dan putar ulang kredensial apa pun yang tertanam dalam flows Langflow.
CISA KEV / TheHackerNews — CISA Adds 4 Actively Exploited Adobe, Joomla, and Langflow Flaws to KEVThreatAft — CVE-2026-55255 Langflow IDOR Vulnerability
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →