Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-9103
CVSS 9.8 — CRITICO

CVE-2026-9103: Vulnerabilità critica in IBM Langflow OSS

Pubblicato il 2026-07-17 · Fonte: NVD NIST

CVE ID
CVE-2026-9103
CVSS Score
9.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-9103 colpisce IBM Langflow OSS versioni 1.0.0 through 1.10.0, permettendo a un attaccante remoto di ottenere accesso non autorizzato a causa di un'impropria autenticazione nell'endpoint /api/v1/login/auto_login. L'endpoint rilascia token di autenticazione di lunga durata senza richiedere autenticazione quando la configurazione AUTO_LOGIN è abilitata, il che può permettere a un attaccante di rete non autenticato di ottenere accesso amministrativo completo.

Impatto

Un attaccante può sfruttare questa vulnerabilità per ottenere accesso non autorizzato ai sistemi che utilizzano IBM Langflow OSS, potendo così eseguire azioni amministrative senza restrizioni. La configurazione permissive di cross-origin resource sharing (CORS) può anche esporre i token a origini non intenzionali, aumentando il rischio di accesso non autorizzato.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di disabilitare la configurazione AUTO_LOGIN e di implementare un'autenticazione appropriata per l'endpoint /api/v1/login/auto_login. Inoltre, è importante configurare in modo restrittivo le impostazioni CORS per prevenire l'esposizione dei token a origini non autorizzate. Se possibile, si dovrebbe applicare il patch di sicurezza più recente per IBM Langflow OSS.

FAQ — Domande frequenti

Che cosa è la vulnerabilità CVE-2026-9103?

La vulnerabilità CVE-2026-9103 è una vulnerabilità critica in IBM Langflow OSS che può permettere l'accesso non autorizzato a causa di un'impropria autenticazione.

Qual è il CVSS Score di questa vulnerabilità?

Il CVSS Score di questa vulnerabilità è 9.8, classificata come critica.

Come proteggersi da CVE-2026-9103?

Per proteggersi da questa vulnerabilità, si consiglia di disabilitare la configurazione AUTO_LOGIN, implementare un'autenticazione appropriata e configurare in modo restrittivo le impostazioni CORS.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.