Langflow — это инструмент для создания и развертывания агентов и рабочих процессов на базе искусственного интеллекта. В версиях до 1.9.0 конечная точка delete_api_key_route() принимает параметр пути api_key_id и удаляет его только с помощью общей проверки подлинности (зависимость get_current_active_user). Однако функция CRUD delete_api_key() НЕ проверяет принадлежность ключа API текущему пользователю перед удалением.
Показать оригинальное описание (EN)
Langflow is a tool for building and deploying AI-powered agents and workflows. In versions prior to 1.9.0, the delete_api_key_route() endpoint accepts an api_key_id path parameter and deletes it with only a generic authentication check (get_current_active_user dependency). However, the delete_api_key() CRUD function does NOT verify that the API key belongs to the current user before deletion.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Langflow Langflow
cpe:2.3:a:langflow:langflow:*:*:*:*:*:*:*:*
|
— |
1.9.0
|