Mehrere Schwachstellen in der Open‑Source‑Software Langflow ermöglichen Angreifern das Manipulieren von Dateien, das Offenlegen vertraulicher Informationen und das Durchführen von Cross‑Site‑Scripting‑Angriffen (XSS).
Technische Details
Die Beratung identifiziert drei Hauptlücken: Eine unsichere Pfadverarbeitung, die zu Directory‑Traversal führen kann; eine unzureichende Eingabevalidierung bei API‑Endpunkten, die das Einschleusen von Schadcode erlaubt; sowie ein reflektiertes XSS in der Weboberfläche, das über manipulierte URL‑Parameter ausgelöst wird.
Mögliche Folgen
Durch Ausnutzung der Pfad‑Lücke können Angreifer Systemdateien überschreiben oder hinzufügen. Die API‑Schwachstelle erlaubt das Auslesen von Konfigurationsdateien und Zugangsdaten. Das XSS‑Problem kann dazu führen, dass Sitzungs‑Cookies gestohlen oder schädliche Skripte im Browser des Opfers ausgeführt werden.
Betroffene Versionen
Die Lücken betreffen Langflow‑Versionen von 0.5 bis einschließlich 0.8, wie in der Sicherheitsberatung angegeben.
Empfohlene MaĂźnahmen
Nutzer sollen unverzüglich die von den Entwicklern bereitgestellten Sicherheitspatches installieren und ihre Installationen auf die aktuelle Version aktualisieren. Zusätzlich wird empfohlen, die Webserver‑Konfiguration zu überprüfen und Eingaben streng zu filtern.
Weitere SchutzmaĂźnahmen
Der Einsatz einer Web‑Application‑Firewall (WAF) sowie die Beschränkung von Dateizugriffsrechten können das Risiko weiter reduzieren. Alle betroffenen Systeme sollten regelmäßig auf neue Updates geprüft werden.
WeiterfĂĽhrende Informationen
Die vollständige Sicherheitsberatung mit detaillierten Anweisungen ist unter der angegebenen URL abrufbar.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Ăśbertragung