Apa yang terjadi
Sebelum Langflow 1.9.2, titik akhir /api/v1/responses tidak memverifikasi kepemilikan parameter flow_id. Penyerang terautentikasi apa pun dapat menentukan ID alur korban dalam badan permintaan untuk menjalankan alur arbitrer yang dimiliki pengguna lain. CVSS 9.9 Critical, dipublikasikan 2026-06-23.
Mengapa penting
Pengguna Langflow dengan hak istimewa rendah yang terautentikasi dapat menjalankan alur kerja agen AI pengguna lain apa pun — termasuk alur milik admin dengan akses alat istimewa, koneksi database, dan kredensial API eksternal. Ini menghancurkan seluruh model isolasi multi-penyewa Langflow dan memungkinkan pergerakan lateral di seluruh ruang proyek AI.
Vektor serangan
POST terautentikasi ke /api/v1/responses dengan flow_id korban dalam badan permintaan; tidak ada pemeriksaan kepemilikan yang dilakukan sebelum menjalankan alur target
Sistem yang terdampak
Langflow < 1.9.2
Mitigasi
Tingkatkan ke Langflow 1.9.2. Perbaikan PR: https://github.com/langflow-ai/langflow/pull/12832