CVE-2026-33017

Nome do Software Vulnerável e Versões Afetadas Langflow versões anteriores a 1.9.0

Descrição O Langflow é um framework visual utilizado para construir e implantar agentes e fluxos de trabalho impulsionados por IA. Existe um problema crítico no endpoint 'POST /api/v1/build public tmp/{flow id}/flow', que foi projetado para permitir a construção de fluxos públicos sem autenticação. Quando o parâmetro opcional data é fornecido, o endpoint utiliza incorretamente dados de fluxo controlados por um invasor (contendo código Python arbitrário em definições de nós) em vez dos dados armazenados no banco de dados. Esse código é passado para a função exec() sem sandboxing, resultando em execução remota de código (RCE) não autenticada.

A exploração no mundo real foi observada, com invasores rastreando instâncias expostas e utilizando a vulnerabilidade para coletar informações sensíveis, incluindo arquivos .env e .db contendo chaves de API da OpenAI, Anthropic e AWS. Alguns invasores utilizaram uma técnica NATS-as-C2 (Comando e Controle) para gerenciar nós comprometidos e exfiltrar credenciais para facilitar o LLMjacking, que consiste no uso de chaves roubadas para acessar modelos de IA caros, como o Amazon Bedrock, às custas da vítima.

Recomendações Atualize o Langflow para a versão 1.9.0. Como medida paliativa temporária, restrinja o acesso à interface do usuário e aos endpoints de API do Langflow utilizando VPNs ou gateways de zero-trust para garantir que não estejam expostos à internet pública. Monitore qualquer processo python ou langflow que inicie comandos de shell inesperados, como curl, wget ou cat /etc/passwd.