Vulnerabilities ›

CVE-2026-33497

High ⚡ Exploit Available

CWE-22 — Weakness Type

                    Published: Mar 24, 2026                      ·  Modified: Mar 30, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to version 1.7.1, in the download_profile_picture function of the /profile_pictures/{folder_name}/{file_name} endpoint, the folder_name and file_name parameters are not strictly filtered, which allows the secret_key to be read across directories. Version 1.7.1 contains a patch.

🤖 AI Executive Summary

Langflow versions prior to 1.7.1 contain a path traversal vulnerability in the profile picture download endpoint that allows attackers to read sensitive files including secret keys across directories. The vulnerability exists due to insufficient validation of folder_name and file_name parameters, enabling unauthorized access to confidential data.

📄 Description (Arabic)

تحتوي نسخ Langflow السابقة للإصدار 1.7.1 على ثغرة اجتياز مسار في نقطة نهاية تحميل صور الملف الشخصي. يسمح الفشل في التحقق من صحة معاملات folder_name و file_name بقراءة الملفات الحساسة بما في ذلك مفاتيح الأسرار عبر الدلائل. يمكن للمهاجمين الوصول إلى البيانات السرية والمفاتيح المشفرة دون تفويض.

🤖 ملخص تنفيذي (AI)

🤖 AI Intelligence Analysis Analyzed: May 3, 2026 02:58

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1083 T1552 T1190

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Langflow to version 1.7.1 or later immediately. Implement strict input validation and sanitization for all file path parameters. Use allowlist-based validation for folder and file names. Implement proper access controls and restrict file access to designated directories only. Monitor for suspicious file access patterns.

🔧 خطوات المعالجة (العربية)

قم بترقية Langflow إلى الإصدار 1.7.1 أو أحدث فوراً. قم بتطبيق التحقق الصارم من صحة المدخلات وتنظيفها لجميع معاملات مسار الملف. استخدم التحقق القائم على قائمة بيضاء لأسماء المجلدات والملفات. قم بتطبيق عناصر التحكم في الوصول المناسبة وقيد الوصول إلى الملفات في الدلائل المخصصة فقط. راقب أنماط الوصول إلى الملفات المريبة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.9.1.1 A.9.4.3 A.14.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.4.3

🔗 References & Sources 1

🔗

https://github.com/langflow-ai/langflow/security/advisories/GHSA-ph9w-r52h-28p7

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

langflow:langflow

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-22

Exploit ✓ Yes

Patch ✗ No

Published 2026-03-24

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

exploit-available CWE-22

🏢 Vendor Advisories

🔗 https://github.com/langflow-ai/langflow/security/adv...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-33497

💬 Comments

Introduce Yourself

Sign In Required