Recentemente, uma falha de segurança grave em Langflow voltou a colocar na mesa uma realidade desconfortável: as ferramentas abertas para construir e orquestrar modelos de IA são agora alvos atrativos para atacantes e qualquer falha pode ser convertida numa via rápida para servidores comprometidos. Trata-se da vulnerabilidade registrada como CVE-2026-33017 (CVSS 9.3), que permite a execução remota de código sem autenticação em versões anteriores de Langflow ou iguais à 1. 1.
Langflow, uma plataforma de código aberto concebida para criar e executar "flujos" de IA, expõe um endpoint público que deveria servir apenas conteúdos armazenados pelo servidor. No entanto, a implementação permitia que um parâmetro opcional denominado "data" substituisse esses fluxos guardados por dados fornecidos por quem realiza o pedido. Esses dados podiam conter definições de nós com fragmentos de Python que finalmente eram executados mediante exec() sem nenhum tipo de isolamento. O resultado é simples e perigoso: um único pedido HTTP pode desencadear código arbitrário com as permissões do processo que o Langflow corre.
Quem descobriu a fraqueza, o pesquisador Aviral Srivastava, publicou sua análise técnica e o caminho para reproduzi-la, e propôs uma solução clara: eliminar a possibilidade de o endpoint público aceitar esse parâmetro de entrada e forçar apenas os fluxos armazenados em servidor. Sua explicação completa pode ser lida em seu post técnico em Medium, e a resposta e o seguimento por parte do projeto estão disponíveis no repositório de GitHub.
O que torna este caso ainda mais preocupante é a velocidade com que a vulnerabilidade foi explorada em ambientes reais. A equipe de segurança de Sysdig relatou que detectou tentativas de exploração na internet apenas 20 horas após a publicação do aviso. De acordo com a sua pesquisa, os atacantes não esperaram que o código público de teste fosse apresentado: eles construíram exploits a partir da descrição do erro, digitalizaram sistemas expostos e começaram a extrair credenciais e outros segredos. O relatório técnico do Sysdig oferece mais detalhes e exemplos da campanha, e está disponível em seu blog: Sysdig.
Com o controle de um processo vulnerável, um atacante pode ler variáveis de ambiente que contenham chaves, acessar arquivos sensíveis, implantar portas traseiras ou até mesmo montar uma shell remota. Sysdig documentou que, após a fase de digitalização automatizada, os operadores passaram a usar scripts Python personalizados para extrair arquivos como "/etc/passwd" e, em seguida, baixar uma segunda etapa alojada em um servidor externo, indicando um plano de exploração por etapas e um kit de ferramentas preparado para implantar cargas úteis concretas.
Este episódio se encaixa com uma tendência mais ampla: o tempo que passa entre a publicação de uma vulnerabilidade e a sua exploração pública foi drasticamente comprimido nos últimos anos. Relatórios de segurança, como o 2026 Global Threat Landscape Report Rapid7, mostram que os prazos foram reduzidos e que muitos atacantes agora consultam as mesmas fontes de avisos que os defensores. Além disso, a Agência de Segurança Cibernética dos Estados Unidos mantém o catálogo de vulnerabilidades conhecidas exploradas, um lembrete de que estas falhas raramente permanecem inativas por muito tempo.
Diante desse cenário, as recomendações práticas para administradores e equipes que usam Langflow são urgentes e concretas. Actualizar a uma versão corrigida logo que disponível é a prioridade; o adesivo foi integrado no trabalho de desenvolvimento (por exemplo, há alterações no ramo de desenvolvimento 1.9.0.dev8) e o projeto publicou informações sobre a mitigação. Além disso, convém auditar e rotar credenciais e segredos presentes em instâncias acessíveis publicamente, revisar logs em busca de chamadas inesperadas ao endpoint afetado e monitorar conexões salientes suspeitas que poderiam indicar exfiltração ou callbacks do atacante.
Não menos importante é reduzir a exposição desses serviços: filtrar o tráfego através de regras de firewall, colocar Langflow por trás de um proxy inverso que exija autenticação para acessos administrativos, e limitar o acesso a ambientes de produção. Em paralelo, avaliar se os fluxos públicos podem ser oferecidos por uma camada intermédia que valide e apenas executar dados armazenados em servidor evitaria que entradas externas cheguem diretamente a funções de execução de código.
Este incidente também deixa uma lição técnica para desenvolvedores: executar código arbitrário a partir de entradas não confiáveis é uma fonte recorrente de compromissos críticos. O uso de funções como exec() Sem sandboxing ou sem validação rigorosa deve ser evitada, e quando a sua utilização for imprescindível, deve ser acompanhada de controlos rigorosos e mecanismos de contenção.
Em suma, a exploração de CVE-2026-33017 é um lembrete de que o ecossistema de ferramentas para a IA precisa melhorar suas práticas de segurança com a mesma velocidade com que se desenvolvem novas funcionalidades. As comunidades de código aberto, as empresas que gerem estas soluções e as equipas de segurança devem ser coordenadas para fechar vetores de ataque antes que os atacantes os tornem em vias de compromisso em massa.
Para aprofundar as fontes citadas e seguir a evolução técnica e as recomendações oficiais, consultar a análise de Sysdig em Sysdig, a assessoria de segurança no repositório de GitHub, o relato técnico do descubridor em Medium, e o contexto de tendências no relatório Rapid7. Se você gerir instâncias de Langflow, age rapidamente: atualizar e auditar hoje pode evitar um compromisso amanhã.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...