Apa yang terjadi
IBM Langflow OSS versi 1.0.0 hingga 1.10.0 (hingga commit 94981c443d4918517b9e8163d70fc598dc33a32d, sebelum 1.9.2) mengandung kerentanan code injection dalam komponen Policies' ToolGuard integration yang membypass kontrol keamanan allow_custom_components=false, yang digunakan administrator untuk menonaktifkan eksekusi custom Python components dalam deployment yang terkontrol. NVD mempublikasikan CVE ini pada 2026-07-17 dengan CVSS 9.9 (Critical).
Mengapa penting
Langflow adalah salah satu platform building AI agent/workflow open-source yang paling banyak dideploy (145,000+ GitHub stars) dan memiliki sejarah yang terdokumentasi dari RCE unauthenticated yang actively-exploited (CVE-2025-3248, CVE-2026-33017, keduanya ditambahkan ke CISA KEV dan dieksploitasi oleh botnets dalam hitungan jam setelah disclosure). Flaw baru ini mengalahkan kontrol hardening spesifik (LANGFLOW_ALLOW_CUSTOM_COMPONENTS) yang digunakan administrator untuk mencegah eksekusi kode kelas ini, berarti organisasi yang percaya mereka telah memitigasi risiko Langflow RCE sebelumnya melalui kontrol ini tetap exposed.
Vektor serangan
Penyalahgunaan komponen Policies/ToolGuard untuk inject dan execute kode meskipun allow_custom_components=false diatur, membypass intended custom-component execution block
Sistem yang terdampak
IBM Langflow OSS 1.0.0 hingga 1.10.0 (hingga 1.9.2)
Mitigasi
Upgrade ke patched Langflow OSS release lebih dari 1.10.0/commit 94981c4; lihat IBM advisory