Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-10140

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/06/2026
Última modificación:
02/07/2026

Descripción

*** Pendiente de traducción *** IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of API clients across tenant boundaries. An authenticated attacker can manipulate cache state to cause requests from other users to be processed using incorrect upstream API credentials, leading to cross-tenant billing and accountability misattribution.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:langflow:langflow:*:*:*:*:*:*:*:* 1.0.0 (incluyendo) 1.10.0 (incluyendo)


Referencias a soluciones, herramientas e información