1  info:
 2    name: langflow
 3    cve: CVE-2026-3357
 4    summary: IBM Langflow Desktop FAISS 组件不安全反序列化导致远程代码执行
 5    details: >-
 6      IBM Langflow Desktop 1.6.0 至 1.8.2 版本的 FAISS 向量存储组件存在不安全反序列化漏洞。
 7      该组件通过 Python Pickle 文件从磁盘加载持久化的向量索引和元数据，且危险的反序列化功能默认开启，
 8      对不可信数据不加限制地进行加载。经过身份验证的攻击者可通过上传精心构造的 Pickle 文件并配置
 9      FAISS 组件加载该文件，以后端服务的权限执行任意代码，造成远程代码执行（CWE-502：不可信数据的反序列化）。
10      目前官方暂无缓解措施或变通方案。
11    cvss: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
12    severity: HIGH
13    security_advise: 升级 IBM Langflow Desktop 至 1.8.2 以上版本。目前暂无已知缓解或临时变通措施，
14      请关注官方安全公告 https://www.ibm.com/support/pages/node/7268428 以获取补丁信息。
15    references:
16      - https://www.ibm.com/support/pages/node/7268428
17      - https://www.cve.org/CVERecord?id=CVE-2026-3357
18  rule: version >= "1.6.0" && version <= "1.8.2"
19  references:
20    - https://www.ibm.com/support/pages/node/7268428
21    - https://www.cve.org/CVERecord?id=CVE-2026-3357