CVE-2026-33017

Nome do Software Vulnerável e Versões Afetadas Langflow versões anteriores a 1.9.0

Description Langflow é um framework visual utilizado para construir e implantar agentes e fluxos de trabalho impulsionados por IA. Existe um problema crítico no endpoint "POST /api/v1/build public tmp/{flow id}/flow", que é projetado para permitir a construção de fluxos públicos sem autenticação. Quando o parâmetro opcional data é fornecido, o endpoint utiliza incorretamente dados de fluxo controlados por um atacante, contendo código Python arbitrário em definições de nós, em vez dos dados armazenados no banco de dados. Este código é passado para a função exec() sem qualquer sandboxing, resultando em execução remota de código (RCE) não autenticada.

A exploração no mundo real foi observada, com atacantes rastreando instâncias expostas e utilizando a vulnerabilidade para coletar informações sensíveis, incluindo arquivos .env e .db contendo chaves de API da OpenAI, Anthropic e AWS. Alguns atacantes utilizaram uma infraestrutura de comando e controle (C2) baseada em NATS, referida como operação KeyHunter, para exfiltrar credenciais e realizar LLMjacking, que consiste no uso de chaves roubadas para acessar modelos de IA caros, como o Amazon Bedrock, às custas da vítima.

Recommendations Atualize o Langflow para a versão 1.9.0. Como mitigação temporária, remova o parâmetro data do endpoint "/api/v1/build public tmp/{flow id}/flow" para garantir que fluxos públicos utilizem apenas dados armazenados no banco de dados. Certifique-se de que a interface do usuário e os endpoints de API do Langflow não estejam expostos à internet pública, utilizando VPNs ou gateways de zero-trust.