CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-33017

Langflow: nieuwierzytelniony RCE przez endpoint budowania publicznych przepływów

CVSS 9.3v4.0pub. 2026-03-20upd. 2026-05-21

W wersjach Langflow poprzedzających 1.9.0 endpoint POST /api/v1/build_public_tmp/{flow_id}/flow umożliwia wykonanie dowolnego kodu Python bez jakiegokolwiek uwierzytelnienia. Podatność jest aktywnie wykorzystywana na wolności i otrzymała ocenę CVSS 9.3 (CRITICAL).

Pokaż oryginał (EN)

Langflow is a tool for building and deploying AI-powered agents and workflows. In versions prior to 1.9.0, the POST /api/v1/build_public_tmp/{flow_id}/flow endpoint allows building public flows without requiring authentication. When the optional data parameter is supplied, the endpoint uses attacker-controlled flow data (containing arbitrary Python code in node definitions) instead of the stored flow data from the database. This code is passed to exec() with zero sandboxing, resulting in unauthenticated remote code execution. This is distinct from CVE-2025-3248, which fixed /api/v1/validate/code by adding authentication. The build_public_tmp endpoint is designed to be unauthenticated (for public flows) but incorrectly accepts attacker-supplied flow data containing arbitrary executable code. This issue has been fixed in version 1.9.0.

🤖 Analiza AI
Jak działa

Endpoint build_public_tmp jest celowo zaprojektowany jako niewymagający uwierzytelnienia, aby obsługiwać publiczne przepływy (flows). Gdy żądanie POST zawiera opcjonalny parametr data, serwer używa dostarczonej przez atakującego definicji przepływu zamiast danych przechowywanych w bazie danych. Definicja ta może zawierać dowolny kod Python osadzony w węzłach (node definitions), który następnie jest przekazywany bezpośrednio do funkcji exec() bez jakiegokolwiek sandboxingu ani walidacji. W efekcie atakujący może zdalnie wykonać arbitralny kod na serwerze bez posiadania żadnych poświadczeń.

Skutki

Atakujący bez uwierzytelnienia może wykonać dowolny kod Python w kontekście procesu serwera Langflow, co prowadzi do pełnego przejęcia systemu, wycieku danych, instalacji backdoorów lub lateral movement w sieci wewnętrznej.

Mitygacja

Należy niezwłocznie zaktualizować Langflow do wersji 1.9.0 lub nowszej, w której podatność została naprawiona. Poprawka dostępna jest w repozytorium projektu (commit 73b6612e3ef25fdae0a752d75b0fabd47328d4f0) oraz w oficjalnym wydaniu 1.9.0.

Kogo dotyczy

Langflow we wszystkich wersjach poprzedzających 1.9.0

Uwagi

Podatność jest odrębna od CVE-2025-3248, który dotyczył endpointu /api/v1/validate/code i został naprawiony przez dodanie uwierzytelnienia. Mechanizm odkrycia opisano publicznie na platformie Medium (autor: aviral23). Endpoint build_public_tmp był z założenia nieuwierzytelniony, jednak błędnie akceptował atakujący-kontrolowane dane przepływu zawierające wykonywalny kod.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Langflow

    APP
    Langflow
    < 1.8.2

CISA KEV — szczegółyi

Dostawcai
Langflow
Produkti
Langflow
Data dodania do KEVi
25 marca 2026
Termin remediation (USA)i
8 kwietnia 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaniechaj korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Langflow zawiera lukę umożliwiającą code injection, która mogłaby pozwolić na budowanie publicznych flow bez wymagania uwierzytelnienia.

tłumaczenie AI
Pokaż oryginał (EN)

Langflow contains a code injection vulnerability that could allow building public flows without requiring authentication.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 8 kwietnia 2026
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-34291CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Langflow: przejęcie konta i RCE przez błędną konfigurację CORS

CVE-2025-3248CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Nieuwierzytelnione RCE w Langflow poprzez wstrzyknięcie kodu w endpoint /api/v1/validate/code

CVE-2026-10140CRITICAL9.6ten sam produkt

IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of ...

CVE-2026-10134CRITICAL10.0ten sam produkt

IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process...

CVE-2026-7663CRITICAL9.1ten sam produkt

IBM Langflow OSS 1.0.0 through 1.9.6 could allow unauthenticated attackers to access protected MCP project res...