De Amerikaanse cybersecurityorganisatie CISA heeft een kritieke kwetsbaarheid gesignaleerd in Langflow, het open-source visuele framework dat op grote schaal wordt gebruikt om AI-agent-workflows te bouwen. De kwetsbaarheid, CVE-2026-33017, heeft een CVSS-score van 9.3 en maakt het mogelijk om op afstand code uit te voeren zonder dat er authenticatie nodig is. CISA heeft het toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, wat betekent dat actief misbruik is bevestigd.
Langflow heeft meer dan 145.000 sterren op GitHub en is populair vanwege de drag-and-drop-interface die AI-knooppunten via een REST API verbindt tot uitvoerbare pijplijnen. Die populariteit maakt het vanzelfsprekend tevens een aantrekkelijk doelwit.
Misbruik volgde binnen 20 uur na bekendmaking
Volgens Sysdig begonnen aanvallers ongeveer 20 uur nadat het advies op 17 maart was gepubliceerd te scannen op kwetsbare instanties. Misbruik met behulp van Python-scripts volgde binnen 21 uur, en het verzamelen van gegevens gericht op .env- en .db-bestanden begon na 24 uur. Er bestond op dat moment geen openbare proof-of-concept-code. Endor Labs is van mening dat aanvallers exploits rechtstreeks uit het advies hebben gereconstrueerd.
De kwetsbaarheid zit in het openbare flow-build-eindpunt van Langflow. Wanneer een aanvaller een speciaal vervaardigde gegevensparameter aanlevert, wordt de code doorgegeven aan de exec()-functie van Python zonder enige sandboxing, waardoor niet-geauthenticeerde RCE mogelijk is via een enkel HTTP-verzoek. Versies 1.8.1 en eerder zijn getroffen.
Dit is niet de eerste keer dat Langflow de aandacht van CISA heeft getrokken. In mei 2025 waarschuwde die organisatie voor actieve exploitatie van CVE-2025-3248, een andere kritieke fout in de API-endpoint die niet-geauthenticeerde RCE mogelijk maakt. Dat is ook geen op zichzelf staand geval: n8n, een vergelijkbare AI-workflowtool, kampte in januari van dit jaar eveneens met een kritieke kwetsbaarheid met een CVSS van zelfs 10.0, waardoor volledige overname van de instantie mogelijk was. Het lijkt erop dat agentic oplossingen met een lage toegangsdrempel meer moeten doen om kwaadwillig gebruik te voorkomen, in ieder geval via dergelijke kwetsbaarheden.
Oplossing: patch naar versie 1.9.0 of uitschakelen
Systeembeheerders die Langflow gebruiken, moeten upgraden naar versie 1.9.0 of hoger, waarin CVE-2026-33017 is verholpen. Als upgraden niet onmiddellijk mogelijk is, wordt aanbevolen het kwetsbare eindpunt uit te schakelen of te beperken. Sysdig raadt af om Langflow rechtstreeks aan het internet bloot te stellen en adviseert om uitgaand verkeer te monitoren en API-sleutels, database-inloggegevens en cloudgeheimen te rouleren als verdachte activiteiten worden gedetecteerd.
De deadline van 8 april van CISA geldt formeel voor Amerikaanse federale instanties onder Binding Operational Directive 22-01, maar de cyber-experts raden alle organisaties aan deze als richtlijn te hanteren.