Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Escritura arbitraria de ficheros en Langflow

Fecha de publicación 20/03/2026
Identificador
INCIBE-2026-206
Importancia
5 - Crítica
Recursos Afectados

Langflow, versiones entre la 1.2.0 y 1.8.1.

Descripción

Langflow ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a atacantes no autenticados escribir ficheros en cualquier lugar del sistema anfitrión (host), lo que podría derivar en una ejecución de código en remoto (RCE).

Solución

Actualizar el producto a la versión 1.9.0.

Detalle

  • CVE-2026-33309: La capa de almacenamiento no realiza comprobaciones de contención de límites, el sistema depende completamente de la dependencia 'ValidatedFileName' de la capa HTTP.

    Este fallo de defensa en profundidad deja el endpoint 'POST /api/v2/files' vulnerable a una escritura arbitraria de ficheros. El nombre de fichero de carga multiparte omite el protector de parámetros de ruta, lo que permite a atacantes no autenticados escribir ficheros en cualquier lugar del sistema anfitrión (host), lo que deriva en una Ejecución de Código en Remoto (RCE).

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-33309 Crítica No Langflow
Listado de referencias
GitHub - Langflow has an Arbitrary File Write (RCE) via v2 API
Etiquetas