CVE-2026-27966

See a problem?
Please try reporting it to the source first.

Source

https://cve.org/CVERecord?id=CVE-2026-27966

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-27966.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2026-27966

Aliases

GHSA-3645-fxcv-hqr4

Published

2026-02-26T01:55:18.580Z

Modified

2026-04-02T13:21:51.932316Z

Severity

9.8 (Critical) CVSS_V3 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS Calculator

Summary

Langflow has Remote Code Execution in CSV Agent

Details

Langflow is a tool for building and deploying AI-powered agents and workflows. Prior to version 1.8.0, the CSV Agent node in Langflow hardcodes allow_dangerous_code=True, which automatically exposes LangChain’s Python REPL tool (python_repl_ast). As a result, an attacker can execute arbitrary Python and OS commands on the server via prompt injection, leading to full Remote Code Execution (RCE). Version 1.8.0 fixes the issue.

Database specific

{
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2026/27xxx/CVE-2026-27966.json",
    "cna_assigner": "GitHub_M",
    "cwe_ids": [
        "CWE-94"
    ]
}

References

Affected packages

Git / github.com/langflow-ai/langflow

Affected ranges

Type: GIT
Repo: https://github.com/langflow-ai/langflow
Events: Introduced

0 Unknown introduced commit / All previous commits are affected

Fixed

699e35688f1c6ba5a123f685e2ef6374ba404937

Affected versions

1.*

1.0.16.dev20240826

1.0.17.dev0

1.0.17.dev1

1.0.17.dev2

1.0.17.dev20240827

1.0.17.dev20240828

1.0.17.dev20240829

1.0.17.dev3

1.0.17.dev4

1.0.17.dev5

1.0.17.dev6

1.0.17.dev7

1.0.17.dev8

1.0.17.dev9

1.0.18.dev0

1.0.18.dev14

1.0.18.dev15

1.0.18.dev16

1.0.18.dev17

1.0.18.dev18

1.0.18.dev2

1.0.18.dev23

1.0.18.dev29

1.0.18.dev4

1.0.18.dev5

1.0.18.dev6

1.0.19.dev0

1.0.19.dev1

1.0.19.dev2

1.0.19.dev3

1.0.19.dev5

1.1.2

1.1.3

1.1.4

1.1.4.post1

1.2.0

1.3.0

1.3.1

1.3.2

1.3.3

1.3.4

1.4.0

1.4.1

1.4.2

1.4.3

1.5.0

1.5.0.post1

1.5.0.post2

1.5.1

1.6.0

1.6.1

1.6.10

1.6.2

1.6.3

1.6.4

1.6.5

1.6.6

1.6.7

1.6.8

1.6.9

1.7.0

1.7.0-pre

1.7.0rc1

1.7.1

1.7.2

1.7.3

1.8.0

1.8.0.rc0

1.8.0.rc1

1.8.0.rc2

1.8.0.rc3

1.8.0.rc4

1.8.0.rc5

1.8.0.rc6

1.8.0qa1

1.8.1

1.8.2

1.8.3

aka-1.*

aka-1.7.0

cloud-v1.*

cloud-v1.0

v0.*

v0.0.19

v0.0.20

v0.0.21

v0.0.22

v0.0.23

v0.0.24

v0.0.31

v0.0.32

v0.0.33

v0.0.40

v0.0.44

v0.0.45

v0.0.46

v0.0.52

v0.0.53

v0.0.54

v0.0.55

v0.0.56

v0.0.57

v0.0.58

v0.0.61

v0.0.62

v0.0.63

v0.0.64

v0.0.65

v0.0.66

v0.0.67

v0.0.68

v0.0.69

v0.0.70

v0.0.71

v0.0.72

v0.0.73

v0.0.74

v0.0.75

v0.0.76

v0.0.77

v0.0.78

v0.0.79

v0.0.80

v0.0.81

v0.0.82

v0.0.83

v0.0.84

v0.0.85

v0.0.86

v0.0.87

v0.0.88

v0.0.89

v0.1.0

v0.1.2

v0.1.3

v0.1.4

v0.1.5

v0.1.6

v0.1.7

v0.2.0

v0.2.1

v0.2.10

v0.2.11

v0.2.12

v0.2.13

v0.2.2

v0.2.3

v0.2.4

v0.2.5

v0.2.6

v0.2.7

v0.2.8

v0.2.9

v0.3.0

v0.3.1

v0.3.2

v0.3.3

v0.3.4

v0.4.0

v0.4.1

v0.4.10

v0.4.11

v0.4.12

v0.4.14

v0.4.15

v0.4.16

v0.4.17

v0.4.18

v0.4.19

v0.4.2

v0.4.20

v0.4.21

v0.4.3

v0.4.4

v0.4.5

v0.4.6

v0.4.7

v0.4.8

v0.4.9

v0.5.0

v0.5.0a0

v0.5.0a1

v0.5.0a2

v0.5.0a3

v0.5.0a4

v0.5.0a5

v0.5.0a6

v0.5.0b0

v0.5.0b2

v0.5.0b3

v0.5.0b4

v0.5.0b5

v0.5.0b6

v0.5.1

v0.5.10

v0.5.11

v0.5.12

v0.5.2

v0.5.3

v0.5.4

v0.5.5

v0.5.6

v0.5.7

v0.5.8

v0.5.9

v0.6.0

v0.6.0a0

v0.6.0rc1

v0.6.1

v0.6.10

v0.6.11

v0.6.12

v0.6.13

v0.6.14

v0.6.15

v0.6.16

v0.6.17

v0.6.18

v0.6.19

v0.6.2

v0.6.3

v0.6.3a0

v0.6.3a1

v0.6.3a2

v0.6.3a3

v0.6.3a4

v0.6.3a5

v0.6.3a6

v0.6.3a7

v0.6.4

v0.6.4a0

v0.6.4a1

v0.6.5

v0.6.5a0

v0.6.5a1

v0.6.5a10

v0.6.5a11

v0.6.5a12

v0.6.5a13

v0.6.5a2

v0.6.5a3

v0.6.5a4

v0.6.5a5

v0.6.5a6

v0.6.5a7

v0.6.5a8

v0.6.5a9

v0.6.6

v0.6.7

v0.6.7a1

v0.6.7a2

v0.6.7a3

v0.6.7a5

v0.6.8

v0.6.9

v1.*

v1.0.0

v1.0.0a11

v1.0.0a12

v1.0.0a13

v1.0.0a14

v1.0.0a15

v1.0.0a17

v1.0.0a18

v1.0.0a19

v1.0.0a20

v1.0.0a21

v1.0.0a22

v1.0.0a23

v1.0.0a24

v1.0.0a26

v1.0.0a27

v1.0.0a28

v1.0.0a29

v1.0.0a30

v1.0.0a31

v1.0.0a32

v1.0.0a33

v1.0.0a34

v1.0.0a35

v1.0.0a36

v1.0.0a37

v1.0.0a38

v1.0.0a4

v1.0.0a40

v1.0.0a41

v1.0.0a42

v1.0.0a43

v1.0.0a44

v1.0.0a45

v1.0.0a46

v1.0.0a47

v1.0.0a48

v1.0.0a49

v1.0.0a5

v1.0.0a50

v1.0.0a51

v1.0.0a52

v1.0.0a53

v1.0.0a55

v1.0.0a56

v1.0.0a57

v1.0.0a58

v1.0.0a59

v1.0.0a6

v1.0.0a60

v1.0.0a7

v1.0.0a8

v1.0.0rc0

v1.0.0rc1

v1.0.1

v1.0.10

v1.0.11

v1.0.12

v1.0.13

v1.0.14

v1.0.15

v1.0.16

v1.0.17

v1.0.18

v1.0.18.dev0

v1.0.18.dev1

v1.0.18.dev10

v1.0.18.dev11

v1.0.18.dev12

v1.0.18.dev13

v1.0.18.dev14

v1.0.18.dev15

v1.0.18.dev16

v1.0.18.dev17

v1.0.18.dev18

v1.0.18.dev19

v1.0.18.dev2

v1.0.18.dev20

v1.0.18.dev21

v1.0.18.dev22

v1.0.18.dev23

v1.0.18.dev24

v1.0.18.dev25

v1.0.18.dev26

v1.0.18.dev27

v1.0.18.dev28

v1.0.18.dev29

v1.0.18.dev3

v1.0.18.dev30

v1.0.18.dev4

v1.0.18.dev5

v1.0.18.dev6

v1.0.18.dev7

v1.0.18.dev8

v1.0.18.dev9

v1.0.19

v1.0.19.dev0

v1.0.19.dev1

v1.0.19.dev10

v1.0.19.dev11

v1.0.19.dev12

v1.0.19.dev13

v1.0.19.dev14

v1.0.19.dev15

v1.0.19.dev16

v1.0.19.dev17

v1.0.19.dev18

v1.0.19.dev19

v1.0.19.dev2

v1.0.19.dev20

v1.0.19.dev21

v1.0.19.dev22

v1.0.19.dev23

v1.0.19.dev24

v1.0.19.dev25

v1.0.19.dev26

v1.0.19.dev27

v1.0.19.dev28

v1.0.19.dev29

v1.0.19.dev3

v1.0.19.dev4

v1.0.19.dev5

v1.0.19.dev6

v1.0.19.dev7

v1.0.19.dev8

v1.0.19.dev9

v1.0.19.post1

v1.0.19.post2

v1.0.2

v1.0.3

v1.0.4

v1.0.5

v1.0.6

v1.0.7

v1.0.8

v1.0.9

v1.1.0

v1.1.0.dev0

v1.1.0.dev1

v1.1.0.dev2

v1.1.0.dev3

v1.1.0.dev4

v1.1.0.dev5

v1.1.0.dev6

v1.1.0.dev7

v1.1.0.dev8

v1.1.0.dev9

v1.1.1

v1.1.1.dev0

v1.1.1.dev1

v1.1.1.dev10

v1.1.1.dev11

v1.1.1.dev12

v1.1.1.dev13

v1.1.1.dev14

v1.1.1.dev15

v1.1.1.dev16

v1.1.1.dev17

v1.1.1.dev18

v1.1.1.dev19

v1.1.1.dev2

v1.1.1.dev20

v1.1.1.dev21

v1.1.1.dev22

v1.1.1.dev23

v1.1.1.dev24

v1.1.1.dev25

v1.1.1.dev26

v1.1.1.dev27

v1.1.1.dev28

v1.1.1.dev29

v1.1.1.dev3

v1.1.1.dev30

v1.1.1.dev31

v1.1.1.dev32

v1.1.1.dev33

v1.1.1.dev34

v1.1.1.dev35

v1.1.1.dev36

v1.1.1.dev37

v1.1.1.dev38

v1.1.1.dev39

v1.1.1.dev4

v1.1.1.dev40

v1.1.1.dev5

v1.1.1.dev6

v1.1.1.dev7

v1.1.1.dev8

v1.1.1.dev9

v1.1.2.dev0

v1.1.2.dev1

v1.1.2.dev2

v1.1.2.dev3

v1.1.3.dev0

v1.1.3.dev1

v1.1.3.dev2

v1.1.3.dev3

v1.1.3.dev4

v1.1.3.dev5

v1.1.3.dev6

v1.1.4.dev0

v1.1.4.dev1

v1.1.4.dev10

v1.1.4.dev11

v1.1.4.dev12

v1.1.4.dev13

v1.1.4.dev14

v1.1.4.dev15

v1.1.4.dev16

v1.1.4.dev16-ep

v1.1.4.dev17

v1.1.4.dev18

v1.1.4.dev2

v1.1.4.dev3

v1.1.4.dev4

v1.1.4.dev5

v1.1.4.dev6

v1.1.4.dev7

v1.1.4.dev8

v1.1.4.dev9

v1.2.0.dev0

v1.2.0.dev1

v1.2.0.dev10

v1.2.0.dev11

v1.2.0.dev12

v1.2.0.dev13

v1.2.0.dev14

v1.2.0.dev15

v1.2.0.dev16

v1.2.0.dev17

v1.2.0.dev18

v1.2.0.dev19

v1.2.0.dev2

v1.2.0.dev20

v1.2.0.dev21

v1.2.0.dev22

v1.2.0.dev23

v1.2.0.dev24

v1.2.0.dev25

v1.2.0.dev26

v1.2.0.dev27

v1.2.0.dev28

v1.2.0.dev29

v1.2.0.dev3

v1.2.0.dev30

v1.2.0.dev31

v1.2.0.dev32

v1.2.0.dev33

v1.2.0.dev34

v1.2.0.dev35

v1.2.0.dev4

v1.2.0.dev5

v1.2.0.dev6

v1.2.0.dev7

v1.2.0.dev8

v1.2.0.dev9

v1.3.0.dev0

v1.3.1.dev0

v1.3.1.dev1

v1.3.2.dev0

v1.3.2.dev1

v1.3.2.dev10

v1.3.2.dev2

v1.3.2.dev3

v1.3.2.dev4

v1.3.2.dev5

v1.3.2.dev6

v1.3.2.dev7

v1.3.2.dev8

v1.3.2.dev9

v1.3.3.dev0

v1.3.3.dev1

v1.3.3.dev2

v1.3.4.dev0

v1.3.4.dev1

v1.3.4.dev10

v1.3.4.dev11

v1.3.4.dev12

v1.3.4.dev13

v1.3.4.dev14

v1.3.4.dev15

v1.3.4.dev2

v1.3.4.dev3

v1.3.4.dev4

v1.3.4.dev5

v1.3.4.dev6

v1.3.4.dev7

v1.3.4.dev8

v1.3.4.dev9

v1.4.0.dev0

v1.4.0.dev1

v1.4.0.dev2

v1.4.1.dev0

v1.4.1.dev1

v1.4.1.dev10

v1.4.1.dev11

v1.4.1.dev2

v1.4.1.dev3

v1.4.1.dev4

v1.4.1.dev5

v1.4.1.dev6

v1.4.1.dev7

v1.4.1.dev8

v1.4.1.dev9

v1.4.2.dev0

v1.4.2.dev1

v1.4.2.dev10

v1.4.2.dev11

v1.4.2.dev12

v1.4.2.dev13

v1.4.2.dev14

v1.4.2.dev15

v1.4.2.dev16

v1.4.2.dev17

v1.4.2.dev18

v1.4.2.dev19

v1.4.2.dev2

v1.4.2.dev20

v1.4.2.dev21

v1.4.2.dev22

v1.4.2.dev23

v1.4.2.dev24

v1.4.2.dev25

v1.4.2.dev3

v1.4.2.dev4

v1.4.2.dev5

v1.4.2.dev6

v1.4.2.dev7

v1.4.2.dev8

v1.4.2.dev9

v1.4.3.dev0

v1.4.3.dev1

v1.4.3.dev10

v1.4.3.dev11

v1.4.3.dev12

v1.4.3.dev13

v1.4.3.dev14

v1.4.3.dev15

v1.4.3.dev16

v1.4.3.dev17

v1.4.3.dev18

v1.4.3.dev2

v1.4.3.dev3

v1.4.3.dev4

v1.4.3.dev5

v1.4.3.dev6

v1.4.3.dev7

v1.4.3.dev8

v1.4.3.dev9

v1.5.0.dev0

v1.5.0.dev1

v1.5.0.dev10

v1.5.0.dev11

v1.5.0.dev12

v1.5.0.dev13

v1.5.0.dev14

v1.5.0.dev15

v1.5.0.dev16

v1.5.0.dev17

v1.5.0.dev18

v1.5.0.dev19

v1.5.0.dev2

v1.5.0.dev20

v1.5.0.dev21

v1.5.0.dev22

v1.5.0.dev23

v1.5.0.dev24

v1.5.0.dev25

v1.5.0.dev26

v1.5.0.dev27

v1.5.0.dev28

v1.5.0.dev29

v1.5.0.dev3

v1.5.0.dev30

v1.5.0.dev31

v1.5.0.dev32

v1.5.0.dev33

v1.5.0.dev34

v1.5.0.dev35

v1.5.0.dev36

v1.5.0.dev37

v1.5.0.dev38

v1.5.0.dev39

v1.5.0.dev4

v1.5.0.dev40

v1.5.0.dev5

v1.5.0.dev6

v1.5.0.dev7

v1.5.0.dev8

v1.5.0.dev9

v1.5.1.dev0

v1.5.1.dev1

v1.5.1.dev1-ep

v1.5.1.dev10

v1.5.1.dev11

v1.5.1.dev12

v1.5.1.dev13

v1.5.1.dev14

v1.5.1.dev15

v1.5.1.dev16

v1.5.1.dev17

v1.5.1.dev18

v1.5.1.dev19

v1.5.1.dev2

v1.5.1.dev20

v1.5.1.dev21

v1.5.1.dev22

v1.5.1.dev23

v1.5.1.dev24

v1.5.1.dev25

v1.5.1.dev26

v1.5.1.dev27

v1.5.1.dev28

v1.5.1.dev29

v1.5.1.dev3

v1.5.1.dev30

v1.5.1.dev31

v1.5.1.dev32

v1.5.1.dev33

v1.5.1.dev34

v1.5.1.dev35

v1.5.1.dev36

v1.5.1.dev37

v1.5.1.dev38

v1.5.1.dev39

v1.5.1.dev4

v1.5.1.dev40

v1.5.1.dev41

v1.5.1.dev42

v1.5.1.dev5

v1.5.1.dev6

v1.5.1.dev7

v1.5.1.dev8

v1.5.1.dev9

v1.6.0.dev0

v1.6.0.dev1

v1.6.0.dev2

v1.6.0.dev3

v1.6.0.dev4

v1.6.0.dev5

v1.6.1.dev0

v1.6.3.dev0

v1.6.3.dev1

v1.6.3.dev2

v1.6.4.dev0

v1.6.4.dev1

v1.6.4.dev10

v1.6.4.dev2

v1.6.4.dev3

v1.6.4.dev4

v1.6.4.dev5

v1.6.4.dev6

v1.6.4.dev7

v1.6.4.dev8

v1.6.4.dev9

v1.6.5.dev0

v1.6.5.dev1

v1.6.5.dev10

v1.6.5.dev2

v1.6.5.dev3

v1.6.5.dev4

v1.6.5.dev5

v1.6.5.dev6

v1.6.5.dev7

v1.6.5.dev8

v1.6.5.dev9

v1.6.6.dev0

v1.6.8

v1.7.0

v1.7.0.dev0

v1.7.0.dev1

v1.7.0.dev10

v1.7.0.dev11

v1.7.0.dev12

v1.7.0.dev13

v1.7.0.dev14

v1.7.0.dev15

v1.7.0.dev16

v1.7.0.dev17

v1.7.0.dev18

v1.7.0.dev19

v1.7.0.dev2

v1.7.0.dev20

v1.7.0.dev21

v1.7.0.dev22

v1.7.0.dev23

v1.7.0.dev24

v1.7.0.dev25

v1.7.0.dev26

v1.7.0.dev27

v1.7.0.dev28

v1.7.0.dev29

v1.7.0.dev3

v1.7.0.dev30

v1.7.0.dev31

v1.7.0.dev32

v1.7.0.dev33

v1.7.0.dev34

v1.7.0.dev35

v1.7.0.dev36

v1.7.0.dev37

v1.7.0.dev38

v1.7.0.dev39

v1.7.0.dev4

v1.7.0.dev40

v1.7.0.dev41

v1.7.0.dev42

v1.7.0.dev43

v1.7.0.dev44

v1.7.0.dev45

v1.7.0.dev46

v1.7.0.dev47

v1.7.0.dev48

v1.7.0.dev49

v1.7.0.dev5

v1.7.0.dev50

v1.7.0.dev51

v1.7.0.dev52

v1.7.0.dev53

v1.7.0.dev54

v1.7.0.dev55

v1.7.0.dev56

v1.7.0.dev57

v1.7.0.dev58

v1.7.0.dev6

v1.7.0.dev7

v1.7.0.dev8

v1.7.0.dev9

v1.7.0rc1

v1.7.1.dev0

v1.7.1.dev1

v1.7.1.dev10

v1.7.1.dev11

v1.7.1.dev12

v1.7.1.dev13

v1.7.1.dev14

v1.7.1.dev15

v1.7.1.dev16

v1.7.1.dev17

v1.7.1.dev18

v1.7.1.dev2

v1.7.1.dev3

v1.7.1.dev4

v1.7.1.dev5

v1.7.1.dev6

v1.7.1.dev7

v1.7.1.dev8

v1.7.1.dev9

v1.7.2

v1.7.3

v1.8.0

v1.8.0.dev0

v1.8.0.dev1

v1.8.0.dev2

v1.8.0dev1

v1.8.0qa1

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-27966.json"