A weakness has been identified in langflow-ai langflow up to 1.8.4. This affects the function eval of the file src/lfx/src/lfx/components/llm_operations/lambda_filter.p of the component LambdaFilterComponent. Executing a manipulation can lead to code injection. The attack may be performed from remote. The exploit has been made available to the public and could be used for attacks. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-7700 is a code injection vulnerability in langflow-ai langflow versions up to 1.8.4 affecting the LambdaFilterComponent's eval function. Remote attackers can execute arbitrary code through manipulation of the lambda_filter.p component without authentication.
ثغرة حقن أكواد في مكون LambdaFilterComponent بمكتبة langflow-ai تسمح للمهاجمين بتنفيذ أكواد Python عشوائية عن بعد. الثغرة موجودة في دالة eval بملف lambda_filter.p وتؤثر على جميع الإصدارات حتى 1.8.4. تم الكشف عن استغلال عملي للثغرة وتوفره للجمهور.
ثغرة حقن الأكواد في langflow-ai langflow الإصدارات حتى 1.8.4 تؤثر على مكون LambdaFilterComponent. يمكن للمهاجمين البعيدين تنفيذ أكواد عشوائية من خلال التلاعب بمكون lambda_filter.p.
Update langflow-ai to version 1.8.5 or later immediately. Implement input validation and sanitization for all lambda filter operations. Restrict access to LambdaFilterComponent through network segmentation and authentication controls. Monitor for suspicious eval function calls in application logs.
قم بتحديث langflow-ai إلى الإصدار 1.8.5 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتطهير لجميع عمليات lambda filter. قيد الوصول إلى LambdaFilterComponent من خلال تقسيم الشبكة وضوابط المصادقة. راقب استدعاءات دالة eval المريبة في سجلات التطبيق.