Ein ernsthafter Sicherheitsversagen in Langflow hat kürzlich wieder eine unangenehme Realität auf den Tisch gelegt: offene Werkzeuge für den Bau und die Orchestrierung von IA-Modellen sind jetzt attraktive Ziele für Angreifer und jeder Ausfall kann ein schneller Weg zu kompromittierten Servern werden. Es geht um die Verwundbarkeit, die als CVE-2026-33017 (CVSS 9.3), die eine Remote-Ausführung von Code ohne Authentifizierung in Langflow-Versionen vor oder gleich 1,8.1.
Langflow, eine Open-Source-Plattform, die entwickelt wurde, um IA "flows" zu erstellen und auszuführen, stellt einen öffentlichen Endpunkt frei, der nur von dem Server gespeicherte Inhalte bedienen sollte. Durch die Implementierung konnte jedoch ein optionaler Parameter namens "Daten" ersetzt werden, um diese gespeicherten Ströme durch die von der Person bereitgestellten Daten zu ersetzen, die die Anfrage stellt. Diese Daten könnten Definitionen von Knoten mit Python-Fragmenten enthalten, die schließlich von exec () ohne jede Art von Isolation. Das Ergebnis ist einfach und gefährlich: Eine einzelne HTTP-Anfrage kann mit den Langflow-Prozessberechtigungen beliebigen Code auslösen.
Er entdeckte die Schwäche, der Forscher Aviral Srivastava, veröffentlichte seine technische Analyse und den Weg, sie zu reproduzieren, und schlug eine klare Lösung: die Möglichkeit des öffentlichen Endpunkts zu beseitigen, der diesen Eintrittsparameter akzeptiert und nur die auf dem Server gespeicherten Ströme zu zwingen, die ausgeführt werden sollen. Ihre vollständige Erklärung kann in Ihrem technischen Beitrag bei Mittel und die Projektantwort und Follow-up sind im Projektarchiv von GitHub.
Was diesen Fall noch beunruhigender macht, ist die Geschwindigkeit, mit der Verwundbarkeit in realen Umgebungen ausgenutzt wurde. Das Sicherheitsteam von Sysdig berichtete, dass es versuchte, im Internet nur 20 Stunden nach der Veröffentlichung der Mitteilung zu arbeiten. Nach ihrer Untersuchung warteten die Angreifer nicht auf den öffentlichen Code des Konzeptnachweises: Sie bauten Ausbeutungen aus der Beschreibung des Fehlers, gescannte exponierte Systeme und begannen, Anmeldeinformationen und andere Geheimnisse zu extrahieren. Der Sysdig-Technische Bericht bietet weitere Details und Beispiele der Kampagne und ist auf Ihrem Blog verfügbar: Sysdig.
Mit der Steuerung eines verletzlichen Prozesses kann ein Angreifer Umgebungsvariablen lesen, die Schlüssel enthalten, auf sensible Dateien zugreifen, Hintertüren installieren oder sogar eine Remote Shell montieren. Sysdig dokumentierte, dass nach der automatisierten Scanphase die Operatoren die benutzerdefinierten Python-Skripte verwenden, um Dateien wie "/ etc / passd" zu extrahieren und dann eine zweite Stufe auf einem externen Server herunterzuladen, die einen phasengesteuerten Operationsplan anzeigt und ein Toolkit für die Bereitstellung bestimmter Nutzlasten vorbereitet ist.
Diese Episode passt zu einem breiteren Trend: Die Zeit zwischen der Veröffentlichung einer Verwundbarkeit und ihrer öffentlichen Ausbeutung wurde in den letzten Jahren drastisch komprimiert. Sicherheitsberichte wie 2026 Global Threat Landschaftsbericht de Rapid7, zeigen, dass die Fristen reduziert wurden und dass viele Angreifer nun die gleichen Warnquellen wie Verteidiger konsultieren. Außerdem unterhält die Cyber Security Agency der Vereinigten Staaten den Katalog der bekannt ausgenutzte Schwachstellen, eine Erinnerung, dass diese Misserfolge für eine lange Zeit selten inaktiv bleiben.
Angesichts dieses Szenarios sind praktische Empfehlungen für Manager und Teams mit Langflow dringend und konkret. Update auf eine korrigierte Version, sobald sie verfügbar ist, ist die Priorität; das Patch wurde in die Entwicklungsarbeit integriert (zum Beispiel gibt es Änderungen in der Entwicklungsbranche 1.9.0.dev8) und das Projekt hat Informationen zur Minderung veröffentlicht. Darüber hinaus ist es angebracht, die in öffentlich zugänglichen Fällen vorhandenen Anmeldeinformationen und Geheimnisse zu überprüfen und zu drehen, Protokolle auf der Suche nach unerwarteten Anrufen auf den betroffenen Endpunkt zu überprüfen und verdächtige ausgehende Verbindungen zu überwachen, die Exfiltration oder Rückrufe des Angreifers angeben können.
Nicht weniger wichtig ist die Verringerung der Exposition dieser Dienste: Filterverkehr durch Firewall-Regeln, Platz Langflow hinter einer Proxy-Inverse, die Authentifizierung für den administrativen Zugriff erfordert, und begrenzen den Zugang zu Produktionsumgebungen. Parallel dazu würde die Beurteilung, ob öffentliche Ströme über eine Zwischenschicht angeboten werden können, die die auf dem Server gespeicherten Daten validiert und nur abgibt, externe Eingaben daran hindern, direkt Codeausführungsfunktionen zu erreichen.
Dieser Vorfall lässt auch eine technische Lektion für Entwickler: die Ausführung von beliebigen Code aus unzuverlässigen Einträgen ist eine wiederkehrende Quelle kritischer Verpflichtungen. Verwendung von Funktionen wie exec () ohne Sandkasten oder strenge Validierung sollte vermieden werden, und gegebenenfalls sollten strenge Kontrollen und Eindämmungsmechanismen begleitet werden.
Kurz gesagt, die Nutzung von CVE-2026-33017 ist eine Erinnerung daran, dass das Ökosystem von Werkzeugen für IA seine Sicherheitspraktiken mit der gleichen Geschwindigkeit verbessern muss, mit der neue Funktionalitäten entwickelt werden. Open-Source-Communities, Unternehmen, die diese Lösungen und Sicherheitsteams einsetzen, müssen koordiniert werden, um Vektoren zu schließen, bevor die Angreifer sie in Massenverlobung verwandeln.
Die Sysdig-Analyse findet sich in Sysdig, die Sicherheitshinweise im Projektarchiv GitHub, das technische Konto des Entdeckers in Mittel und der Kontext der Trends in der Rapid7. Wenn Sie Langflow-Instanzen verwalten, handeln Sie schnell: Aktualisierung und Auditing heute kann einen Kompromiss morgen vermeiden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...