Inyección de shell remota en GitHub Actions de Langflow
El paquete 'logspace-ai/langflow' en todas las versiones anteriores a 1.3.5.
Huseyingulsin ha reportado 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante no autenticado la inyección remota de shell en varios flujos de trabajo de GitHub Actions del repositorio Langflow.
Se recomienda actualizar el paquete a la versión 1.9.0.
CVE-2026-33475: vulnerabilidad de inyección remota de shell sin autenticación en varios flujos de trabajo GitHub Actions del repositorio Langflow. La interpolación no sanitiza las variables de contexto de GitHub. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar comandos de shell arbitrarios a través de un nombre de rama o título de solicitud de extracción malicioso, provocando a su vez, la exfiltración de secretos, la manipulación de la infraestructura o el compromiso de la cadena de suministro durante la ejecución de CI/CD.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33475 | Crítica | No | Langflow |
