Impatto Sistemico

Critico (78.97)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2026-48519 – già sanata dal vendor – presente in Langflow, nota piattaforma open-source per lo sviluppo di agent e chatbot basati su intelligenza artificiale. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.

Tipologia

Remote Code Execution

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-48519 – di tipo Code Injection con score CVSS v3.1 pari a 9.6 – che interessa la funzionalità Shareable Playground . In particolare, un attaccante remoto, inviando una richiesta opportunamente predisposta all’endpoint /api/v1/build_public_tmp , non essendo implementata la validazione dell’input, potrebbe sfruttare tale vulnerabilità ed eseguire codice arbitrario sul sistema interessato.

Prodotti e/o versioni affette

Langflow

versioni precedenti alla 1.9.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.