Apa yang terjadi
Sebelum Langflow 1.9.1, pengguna tanpa autentikasi dapat mengunggah data tak terbatas ke server melalui titik akhir unggah file tanpa batasan ukuran atau laju. Ini dapat menguras ruang disk di server, membuat Langflow tidak dapat digunakan untuk semua pengguna secara tidak terbatas. CVSS 9.3 Critical, dipublikasikan 2026-06-23.
Mengapa penting
DoS tanpa auth terhadap platform alur kerja AI produksi mengganggu semua pipeline agen yang sedang berjalan dan penerapan AI pada instans. Penyerang dapat dengan mudah mematikan infrastruktur Langflow bersama yang digunakan oleh beberapa tim, menyebabkan kegagalan cascading dalam proses AI otomatis yang bergantung pada alur Langflow.
Vektor serangan
Permintaan unggah file berulang tanpa autentikasi ke titik akhir unggah Langflow dengan file besar; tidak ada batasan ukuran sisi server atau pemeriksaan autentikasi menguras ruang disk
Sistem yang terdampak
Langflow < 1.9.1
Mitigasi
Tingkatkan ke Langflow 1.9.1. Perbaikan PR: https://github.com/langflow-ai/langflow/pull/12831