Pubblicato il 2026-07-17 · Fonte: NVD NIST
La vulnerabilità CVE-2026-9103 colpisce IBM Langflow OSS versioni 1.0.0 through 1.10.0, permettendo a un attaccante remoto di ottenere accesso non autorizzato a causa di un'impropria autenticazione nell'endpoint /api/v1/login/auto_login. L'endpoint rilascia token di autenticazione di lunga durata senza richiedere autenticazione quando la configurazione AUTO_LOGIN è abilitata, il che può permettere a un attaccante di rete non autenticato di ottenere accesso amministrativo completo.
Un attaccante può sfruttare questa vulnerabilità per ottenere accesso non autorizzato ai sistemi che utilizzano IBM Langflow OSS, potendo così eseguire azioni amministrative senza restrizioni. La configurazione permissive di cross-origin resource sharing (CORS) può anche esporre i token a origini non intenzionali, aumentando il rischio di accesso non autorizzato.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di disabilitare la configurazione AUTO_LOGIN e di implementare un'autenticazione appropriata per l'endpoint /api/v1/login/auto_login. Inoltre, è importante configurare in modo restrittivo le impostazioni CORS per prevenire l'esposizione dei token a origini non autorizzate. Se possibile, si dovrebbe applicare il patch di sicurezza più recente per IBM Langflow OSS.
La vulnerabilità CVE-2026-9103 è una vulnerabilità critica in IBM Langflow OSS che può permettere l'accesso non autorizzato a causa di un'impropria autenticazione.
Il CVSS Score di questa vulnerabilità è 9.8, classificata come critica.
Per proteggersi da questa vulnerabilità, si consiglia di disabilitare la configurazione AUTO_LOGIN, implementare un'autenticazione appropriata e configurare in modo restrittivo le impostazioni CORS.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.