漏洞信息
# Langflow 关键API端点缺乏认证
## 概述
Langflow 是一个用于构建和部署 AI 驱动代理和工作流的工具。在版本 1.7.0.dev45 之前,多个关键 API 端点缺少身份验证控制。
## 影响版本
受影响版本:低于 1.7.0.dev45 的所有版本。
## 细节
多个处理个人数据和系统操作的 API 端点未实施身份验证机制,导致攻击者可在未认证状态下访问敏感接口。这些接口涉及用户会话数据、交易历史的读取,并允许执行删除消息等破坏性操作。
## 影响
未经身份验证的攻击者可读取敏感用户数据(如对话记录和交易历史),并可执行删除操作,可能导致数据泄露和数据完整性受损。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Langflow Missing Authentication on Critical API Endpoints
漏洞描述信息
Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to version 1.7.0.dev45, multiple critical API endpoints in Langflow are missing authentication controls. The issue allows any unauthenticated user to access sensitive user conversation data, transaction histories, and perform destructive operations including message deletion. This affects endpoints handling personal data and system operations that should require proper authorization. Version 1.7.0.dev45 contains a patch.
CVSS信息
N/A
漏洞类别
关键功能的认证机制缺失
漏洞标题
Langflow 访问控制错误漏洞
漏洞描述信息
Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。 Langflow 1.7.0.dev45之前版本存在访问控制错误漏洞,该漏洞源于多个关键API端点缺少身份验证控制,可能导致未经验证的用户访问敏感数据并执行破坏性操作。
CVSS信息
N/A
漏洞类别
授权问题