目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-7874— IBM Langflow OSS 加密问题漏洞

CVSS 9.1 · Critical EPSS 0.16% · P6

Possible ATT&CK Techniques 1AI

T1530 · Data from Cloud Storage

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
IBMLangflow OSS1.0.0≤ 1.10.0affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-7874の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Weak Cryptographic Key Derivation Exposed All Stored Credentials
ソース: NVD (National Vulnerability Database)
脆弱性説明
IBM Langflow OSS 1.0.0 through 1.10.0 Langflow could allow disclosure of all stored credentials due to the use of a weak and reversible key derivation mechanism for encryption at rest.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
使用具有密码学弱点缺陷的PRNG
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
IBM Langflow OSS 加密问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
IBM Langflow OSS是美国IBM公司的一个开源的低代码可视化AI工作流构建工具,它让开发者能通过拖拽组件的方式快速搭建、部署和迭代AI智能体与RAG应用,同时支持用Python进行深度定制以集成企业系统。 IBM Langflow OSS 1.0.0版本至1.10.0版本存在加密问题漏洞,该漏洞源于使用了弱且可逆的密钥派生机制进行静态加密,可能导致所有存储凭据泄露。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
IBMLangflow OSS 1.0.0 ~ 1.10.0 cpe:2.3:a:ibm:langflow_oss:1.0.0:*:*:*:*:*:*:*

II. CVE-2026-7874の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-7874のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-7874 厂商安全公告 (1)

Same Patch Batch · IBM · 2026-06-30 · 43 CVEs total

CVE-2026-1013410.0 CRITICALUnauthenticated Server-Side RCE via PythonCodeStructuredTool in Public Flows
CVE-2026-78739.9 CRITICALCode Injection Vulnerability in Code Validation Endpoint
CVE-2026-78719.8 CRITICALInsecure Deserialization in Redis Cache Backend
CVE-2026-78039.8 CRITICALFlow Validation Bypass via Empty Component Type Field
CVE-2026-101099.8 CRITICALIBM® Db2® is vulnerable to remote code execution due to improper pre-auth DRDA handshake h
CVE-2026-101409.6 CRITICALCross-Tenant API Key Reuse and Billing Fraud in Langflow Voice Mode Subsystem
CVE-2026-117129.3 CRITICALIBM WebSphere Application Server is affected by a cross-site scripting vulnerability
CVE-2026-117089.3 CRITICALIBM WebSphere Application Server is affected by a cross-site scripting vulnerability
CVE-2026-76639.1 CRITICALUnauthenticated Cross-User MCP Resource Access and Tool Execution via Streamable Transport
CVE-2026-101298.5 HIGHSSRF via HTTP Redirect Following in Langflow API Request Component
CVE-2026-115948.5 HIGHIBM WebSphere Application Server is affected by multiple cross-site scripting vulnerabilit
CVE-2026-117148.5 HIGHIBM WebSphere Application Server Liberty is affected by an authorization bypass vulnerabil
CVE-2026-105648.2 HIGHSSRF Vulnerability in Langflow OSS Legacy Components Bypasses Protection
CVE-2026-105608.2 HIGHUnauthenticated Access to Private Flow Build Events and Cancellation in Langflow OSS
CVE-2025-363598.1 HIGHIBM DevOps Loop is susceptible to an Insufficient Session Expiration vulnerability.
CVE-2026-134497.6 HIGHXXE attack in IBM Business Automation Manager Open Editions
CVE-2026-137727.5 HIGHIBM WebSphere eXtreme Scale's OQL is affected by remote code execution
CVE-2026-137597.5 HIGHIBM WebSphere eXtreme Scale is affected by Insecure Deserilization
CVE-2026-115417.4 HIGHIBM WebSphere Application Server and WebSphere Application Server Liberty are affected by
CVE-2026-118067.2 HIGHIBM WebSphere Application Server Liberty is affected by a an arbitrary file read vulnerabi

Showing 20 of 43 CVEs. View all on vendor page →

IV. 関連脆弱性

V. CVE-2026-7874へのコメント

まだコメントはありません


コメントを残す