CVE-2026-10134
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
30/06/2026
Última modificación:
02/07/2026
Descripción
*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process, read and modify every flow, conversation, message, file upload, and saved component in the Langflow database, can connect to internal services, abuse cloud metadata endpoints, laterally move to other tenants on the same Langflow instance, and Establish persistence by modifying the public flow's `tool_code` so normal `/api/v1/build/...` calls by any user re-execute attacker code at each build.
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:langflow:langflow:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 1.9.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



