Langflow: rilevato lo sfruttamento in rete della CVE-2026-55255 (AL01/260708/CSIRT-ITA)
Data:
8 Luglio 2026
Impatto Sistemico
Critico (77.43)
Sintesi
Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2026-55255 – già sanata dal vendor e per la quale risulta disponibile in rete anche un Proof of Concept (PoC) – presente in Langflow, nota piattaforma open-source per lo sviluppo di agent e chatbot basati su intelligenza artificiale. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente autenticato malintenzionato di accedere ed utilizzare workflow di altri utenti sulla piattaforma.
Tipologia
- Security Restriction Bypass
- Denial of Service
- Information Disclosure
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento della vulnerabilità identificata tramite la CVE-2026-55255 – di tipo Authorization Bypass con score CVSS v3.1 pari a 8.4 – che interessa l’endpoint API di Langflow. Tale vulnerabilità è dovuta a meccanismi di controllo non adeguati sugli identificativi delle risorse gestite dall’API. In particolare, un attaccante remoto autenticato, inviando una richiesta opportunamente predisposta all’endpoint /api/v1/responses potrebbe sfruttare tale vulnerabilità per eludere i meccanismi di sicurezza ed eseguire qualsiasi workflow (flow) nel sistema conoscendone l’ID, accedere potenzialmente a dati sensibili trattati dai workflow di altri utenti e consumarne le risorse computazionali.
Prodotti e/o versioni affette
Langflow, versioni precedenti alla 1.9.1 e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
CVE
| CVE-ID |
|---|
| CVE-2026-55255 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 08-07-2026 | 08/07/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
8 Luglio 2026, 12:00
CSIRT Toscana