Critical Langflow Flaw

Una falla de seguridad crítica que afecta a Langflow tiene ser objeto de explotación activa dentro de las 20 horas siguientes a la divulgación pública, lo que pone de relieve la velocidad con la que los actores de amenazas utilizan como armas las vulnerabilidades recientemente publicadas.

El defecto de seguridad, registrado como CVE-2026-33017 (puntuación CVSS: 9.3), es un caso de falta de autenticación combinada con la inyección de código que podría provocar la ejecución remota de código.

«El punto final POST /api/v1/build_public_tmp/ {flow_id} /flow permite crear flujos públicos sin necesidad de autenticación», según el aviso de Langflow sobre la falla.

«Cuando se proporciona el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en las definiciones de los nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec () sin ningún tipo de espacio aislado, lo que provoca la ejecución remota de código sin autenticar».

La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia artificial (IA) de código abierto anteriores a la 1.8.1, incluida. Actualmente, se ha abordado en el versión de desarrollo 1.9.0.dev8 .

adsense

El investigador de seguridad Aviral Srivastava, que descubrió y denunció la falla el 26 de febrero de 2026, dijo que es distinta de CVE-2025-3248 (puntuación CVSS: 9,8), otro error crítico en Langflow que abusaba del punto final /api/v1/validate/code para ejecutar código Python arbitrario sin necesidad de autenticación. Desde entonces, ha sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA).

«El CVE-2026-33017 está en /api/v1/build_public_tmp/ {flow_id} /flow», Srivastava explicó , añadiendo que la causa principal proviene del uso de la misma llamada exec () que CVE-2025-3248 al final de la cadena.

«Este punto final está diseñado para no autenticarse porque sirve a flujos públicos. No puede simplemente añadir un requisito de autenticación sin interrumpir por completo la función de flujos públicos. La verdadera solución consiste en eliminar por completo el parámetro de datos del punto final público, de modo que los flujos públicos solo puedan ejecutar los datos de flujo almacenados (del lado del servidor) y nunca aceptar las definiciones proporcionadas por los atacantes».

La explotación exitosa podría permitir a un atacante enviar una sola solicitud HTTP y obtener la ejecución de código arbitrario con todos los privilegios del proceso del servidor. Con este privilegio, el autor de la amenaza puede leer las variables del entorno, acceder a los archivos o modificarlos para introducir puertas traseras o borrar datos confidenciales, e incluso obtener un shell inverso.

Srivastava dijo a The Hacker News que explotar el CVE-2026-33017 es «extremadamente fácil» y se puede activar mediante un comando curl armado. Añadió que una solicitud HTTP POST con código Python malicioso en la carga útil de JSON es suficiente para lograr la ejecución remota inmediata del código.

La empresa de seguridad en la nube Sysdig dijo que observó los primeros intentos de explotación dirigidos contra el CVE-2026 - 33017 en estado salvaje dentro de las 20 horas de la publicación del aviso el 17 de marzo de 2026.

«En ese momento no existía ningún código público de prueba de concepto (PoC)», dijo Sysdig. «Los atacantes crearon exploits funcionales directamente a partir de la descripción del aviso y empezaron a explorar Internet en busca de instancias vulnerables. La información filtrada incluía claves y credenciales, que permitían el acceso a las bases de datos conectadas y podían comprometer la cadena de suministro de software».

También se ha observado que los actores de amenazas pasan del análisis automatizado al uso de scripts de Python personalizados para extraer datos de «/etc/passwd» y ofrecer una carga útil no especificada para la siguiente etapa alojada en «173.212.205 [.] 251:8443.» La actividad posterior desde la misma dirección IP apunta a una operación exhaustiva de recopilación de credenciales que implica recopilar variables de entorno, enumerar los archivos de configuración y las bases de datos y extraer el contenido de los archivos.env.

Esto sugiere planificar por parte del actor de la amenaza organizando el malware para que se entregue una vez que se identifique un objetivo vulnerable. «Se trata de un atacante con un conjunto de herramientas de explotación preparado para pasar de la validación de vulnerabilidades al despliegue de la carga útil en una sola sesión», señaló Sysdig. Actualmente no se sabe quién está detrás de los ataques.

El período de 20 horas entre la publicación del aviso y la primera explotación se alinea con una tendencia acelerada que ha hecho que el tiempo medio de explotación (TTE) se reduzca de 771 días en 2018 a solo horas en 2024.

Según Rapid7's Informe sobre el panorama mundial de amenazas de 2026 , la mediana del tiempo transcurrido desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de la CISA se redujo de 8,5 días a cinco días durante el último año.

enlaces

«Esta reducción de los plazos plantea serios desafíos para los defensores. El tiempo medio que tardan las organizaciones en desplegar los parches es de aproximadamente 20 días, lo que significa que los defensores y defensoras permanecen expuestos y vulnerables durante demasiado tiempo», añade. «Los responsables de las amenazas supervisan los mismos canales de asesoramiento que utilizan los defensores y están creando vulnerabilidades más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar los parches. Las organizaciones deben reconsiderar por completo sus programas de vulnerabilidad para adaptarse a la realidad».

Se recomienda a los usuarios que se actualicen a la última versión parcheada lo antes posible, auditen las variables del entorno y los secretos de cualquier instancia de Langflow expuesta públicamente, roten las claves y contraseñas de las bases de datos como medida de precaución, supervisen las conexiones salientes a servicios de devolución de llamada inusuales y restrinjan el acceso a la red a las instancias de Langflow mediante reglas de firewall o un proxy inverso con autenticación.

La actividad de exploración dirigida al CVE-2025 - 3248 y CVE-2026-33017 subrayan cómo las cargas de trabajo de la IA están cayendo en el punto de mira de los atacantes debido a su acceso a datos valiosos, su integración en la cadena de suministro de software y las insuficientes medidas de seguridad.

«El CVE-2026-33017 [...] demuestra un patrón que se está convirtiendo en la norma y no en la excepción: las vulnerabilidades críticas de las herramientas populares de código abierto se convierten en armas pocas horas después de su divulgación, a menudo incluso antes de que el código PoC público esté disponible», concluyó Sysdig.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.