La falla de seguridad crítica que afecta a Langflow estaba siendo explotada activamente dentro de las 20 horas posteriores a su publicación, lo que destaca la velocidad con la que los actores de amenazas utilizan como arma las vulnerabilidades recientemente reveladas.
Esta falla de seguridad, rastreada como CVE-2026-33017 (puntaje CVSS: 9.3), podría resultar en la ejecución remota de código mediante una combinación de autenticación faltante e inyección de código.
Según el aviso de Langflow para esta falla, «El punto final POST /api/v1/build_public_tmp/{flow_id}/flow le permite crear flujos públicos sin requerir autenticación».
«Si se especifica el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en la definición del nodo) en lugar de datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin espacio aislado, lo que resulta en una ejecución remota de código no autenticado».
Esta vulnerabilidad afecta a todas las versiones de plataformas de inteligencia artificial (IA) de código abierto anteriores a la 1.8.1. Actualmente compatible con la versión de desarrollo 1.9.0.dev8.
El investigador de seguridad Aviral Srivastava, quien descubrió e informó la falla el 26 de febrero de 2026, dijo que esto es diferente de CVE-2025-3248 (puntaje CVSS: 9.8), otro error crítico de Langflow que explota el punto final /api/v1/validate/code para ejecutar código Python arbitrario sin requerir autenticación. Desde entonces, la vulnerabilidad ha sido explotada activamente, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
“CVE-2026-33017 se encuentra en /api/v1/build_public_tmp/{flow_id}/flow”, explicó Srivastava, y agregó que la causa principal es el uso de la misma llamada exec() que CVE-2025-3248 al final de la cadena.
«Dado que este punto final sirve a un flujo público, está diseñado para no estar autenticado. No se pueden agregar requisitos de autenticación sin romper toda la funcionalidad del flujo público. La verdadera solución es eliminar por completo el parámetro de datos del punto final público. Por lo tanto, el flujo público sólo puede ejecutarse en datos de flujo almacenados (del lado del servidor), y nunca se aceptará ninguna definición especificada por el atacante».
Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con todos los privilegios del proceso del servidor enviando una única solicitud HTTP. Con este permiso implementado, un actor de amenazas puede leer variables de entorno, acceder o modificar archivos, insertar puertas traseras, borrar datos confidenciales o incluso obtener un shell inverso.
La empresa de seguridad en la nube Sysdig dijo que observó el primer intento de explotación dirigido a CVE-2026-33017 en estado salvaje dentro de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026.
«En ese momento, no había ningún código de prueba de concepto (PoC) disponible públicamente», dijo Sysdig. «Los atacantes crearon un exploit que funcionó directamente a partir de la descripción del aviso y comenzaron a escanear Internet en busca de instancias vulnerables. La información expuesta incluía claves y credenciales, brindando acceso a bases de datos conectadas y un posible compromiso de la cadena de suministro de software».
También se ha observado que los actores de amenazas se alejan de los análisis automatizados para utilizar secuencias de comandos Python personalizadas para extraer datos de ‘/etc/passwd’ y entregar cargas útiles de la siguiente etapa alojadas en ‘173.212.205(.)251:8443’ para facilitar la recopilación de credenciales. Esto sugiere que planean atacar a algunos de los atacantes distribuyendo gradualmente el malware una vez que se identifican los objetivos vulnerables.
«Se trata de un atacante con un conjunto de herramientas de explotación preparado que va desde validar la vulnerabilidad hasta implementar la carga útil en una sola sesión», señaló Sysdig. Por el momento se desconoce quién está detrás del ataque.
El plazo de 20 horas desde la publicación de un aviso hasta el primer exploit es consistente con una tendencia acelerada de disminución del tiempo medio de exploit (TTE) de 771 días en 2018 a solo unas pocas horas en 2024.
Según el Informe sobre el panorama global de amenazas 2026 de Rapid7, el tiempo medio entre la divulgación de una vulnerabilidad y su aparición en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA ha disminuido de 8,5 días a 5 días durante el año pasado.
«Este cronograma comprimido plantea serios desafíos para los defensores. El tiempo promedio para que las organizaciones implementen parches es de aproximadamente 20 días, lo que significa que los defensores permanecen expuestos y vulnerables durante demasiado tiempo». «Los adversarios están monitoreando las mismas fuentes de asesoramiento que usan los defensores y están creando exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Las organizaciones deben repensar completamente sus programas de vulnerabilidad para mantenerse al día con la realidad».
Recomendamos que los usuarios actualicen a la última versión parcheada lo antes posible, auditen las variables de entorno y los secretos de las instancias de Langflow disponibles públicamente, roten claves y contraseñas de bases de datos como medida de precaución, monitoreen las conexiones salientes a servicios de devolución de llamadas anormales y utilicen reglas de firewall o proxies inversos autenticados para restringir el acceso a la red a las instancias de Langflow.
Los esfuerzos de investigación dirigidos a CVE-2025-3248 y CVE-2026-33017 destacan cómo los atacantes atacan las cargas de trabajo de IA debido al acceso a datos valiosos, la integración dentro de la cadena de suministro de software y las salvaguardias de seguridad inadecuadas.
«CVE-2026-33017 (…) ilustra un patrón que se está convirtiendo en la norma más que en la excepción: las vulnerabilidades críticas en herramientas populares de código abierto se convierten en armas a las pocas horas de su publicación, a menudo antes de que el código PoC público esté disponible», concluyó Sysdig.
Source link
