الثغرات ›

CVE-2026-33497

مرتفع ⚡ اختراق متاح

CWE-22 — نوع الضعف

                    نُشر: Mar 24, 2026                      ·  آخر تحديث: Mar 30, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to version 1.7.1, in the download_profile_picture function of the /profile_pictures/{folder_name}/{file_name} endpoint, the folder_name and file_name parameters are not strictly filtered, which allows the secret_key to be read across directories. Version 1.7.1 contains a patch.

🤖 ملخص AI

Langflow versions prior to 1.7.1 contain a path traversal vulnerability in the profile picture download endpoint that allows attackers to read sensitive files including secret keys across directories. The vulnerability exists due to insufficient validation of folder_name and file_name parameters, enabling unauthorized access to confidential data.

📄 الوصف (العربية)

تحتوي نسخ Langflow السابقة للإصدار 1.7.1 على ثغرة اجتياز مسار في نقطة نهاية تحميل صور الملف الشخصي. يسمح الفشل في التحقق من صحة معاملات folder_name و file_name بقراءة الملفات الحساسة بما في ذلك مفاتيح الأسرار عبر الدلائل. يمكن للمهاجمين الوصول إلى البيانات السرية والمفاتيح المشفرة دون تفويض.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 3, 2026 02:58

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1083 T1552 T1190

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Langflow to version 1.7.1 or later immediately. Implement strict input validation and sanitization for all file path parameters. Use allowlist-based validation for folder and file names. Implement proper access controls and restrict file access to designated directories only. Monitor for suspicious file access patterns.

🔧 خطوات المعالجة (العربية)

قم بترقية Langflow إلى الإصدار 1.7.1 أو أحدث فوراً. قم بتطبيق التحقق الصارم من صحة المدخلات وتنظيفها لجميع معاملات مسار الملف. استخدم التحقق القائم على قائمة بيضاء لأسماء المجلدات والملفات. قم بتطبيق عناصر التحكم في الوصول المناسبة وقيد الوصول إلى الملفات في الدلائل المخصصة فقط. راقب أنماط الوصول إلى الملفات المريبة.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.9.1.1 A.9.4.3 A.14.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.4.3

🔗 المراجع والمصادر 1

🔗

https://github.com/langflow-ai/langflow/security/advisories/GHSA-ph9w-r52h-28p7

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

langflow:langflow

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-22

اختراق متاح ✓ نعم

تصحيح متاح ✗ لا

تاريخ النشر 2026-03-24

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

exploit-available CWE-22

🏢 توجيهات البائع

🔗 https://github.com/langflow-ai/langflow/security/adv...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-33497

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب