Langflow · Langflow · CVE-2026-33017
**Nome do Software Vulnerável e Versões Afetadas**
Langflow versões anteriores a 1.9.0
**Description**
Langflow é um framework visual utilizado para construir e implantar agentes e fluxos de trabalho impulsionados por IA. Existe um problema crítico no endpoint "POST /api/v1/build public tmp/{flow id}/flow", que é projetado para permitir a construção de fluxos públicos sem autenticação. Quando o parâmetro opcional `data` é fornecido, o endpoint utiliza incorretamente dados de fluxo controlados por um atacante, contendo código Python arbitrário em definições de nós, em vez dos dados armazenados no banco de dados. Este código é passado para a função `exec()` sem qualquer sandboxing, resultando em execução remota de código (RCE) não autenticada.
A exploração no mundo real foi observada, com atacantes rastreando instâncias expostas e utilizando a vulnerabilidade para coletar informações sensíveis, incluindo arquivos `.env` e `.db` contendo chaves de API da OpenAI, Anthropic e AWS. Alguns atacantes utilizaram uma infraestrutura de comando e controle (C2) baseada em NATS, referida como operação KeyHunter, para exfiltrar credenciais e realizar LLMjacking, que consiste no uso de chaves roubadas para acessar modelos de IA caros, como o Amazon Bedrock, às custas da vítima.
**Recommendations**
Atualize o Langflow para a versão 1.9.0.
Como mitigação temporária, remova o parâmetro `data` do endpoint "/api/v1/build public tmp/{flow id}/flow" para garantir que fluxos públicos utilizem apenas dados armazenados no banco de dados.
Certifique-se de que a interface do usuário e os endpoints de API do Langflow não estejam expostos à internet pública, utilizando VPNs ou gateways de zero-trust.