A vulnerability was determined in langflow-ai langflow up to 1.8.4. Affected by this issue is the function CodeParser.parse_callable_details of the file src/lfx/src/lfx/custom/code_parser/code_parser.py of the component Full Builtins Module Handler. Executing a manipulation can lead to command injection. The attack can be executed remotely. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
A command injection vulnerability exists in langflow-ai langflow up to version 1.8.4 in the CodeParser.parse_callable_details function, allowing remote code execution through manipulation of the Full Builtins Module Handler. The vulnerability has been publicly disclosed with no vendor response, increasing exploitation risk for organizations using affected versions.
ثغرة حقن الأوامر في langflow-ai تؤثر على الإصدارات حتى 1.8.4 وتسمح للمهاجمين بتنفيذ أوامر تعسفية عن بعد من خلال التلاعب بدالة معالجة الأكواد. تم الكشف عن الثغرة علنًا ولم يستجب البائع للإشعارات المبكرة، مما يجعلها عرضة للاستغلال الفوري.
ثغرة حقن الأوامر موجودة في langflow-ai langflow حتى الإصدار 1.8.4 في دالة CodeParser.parse_callable_details، مما يسمح بتنفيذ الأوامر عن بعد من خلال التلاعب بمعالج Full Builtins Module. تم الكشف عن الثغرة علنًا دون رد من البائع، مما يزيد من خطر الاستغلال للمنظمات التي تستخدم الإصدارات المتأثرة.
Immediately upgrade langflow-ai to version 1.8.5 or later. If immediate patching is not possible, disable or restrict access to the Full Builtins Module Handler component and implement network-level controls to limit remote access to langflow instances. Monitor for suspicious code execution patterns and review recent logs for exploitation attempts.
قم بالترقية الفورية إلى langflow-ai الإصدار 1.8.5 أو أحدث. إذا لم يكن التصحيح الفوري ممكنًا، قم بتعطيل أو تقييد الوصول إلى مكون Full Builtins Module Handler وتطبيق عناصر تحكم على مستوى الشبكة لتحديد الوصول البعيد إلى instances langflow. راقب أنماط تنفيذ الأوامر المريبة وراجع السجلات الأخيرة لمحاولات الاستغلال.