Vulnerabilidades críticas en Langflow 2026
Vulnerabilidad crítica - 23/03
Introducción
CVE-2026-33017 se origina en un endpoint específico de la API de Langflow, destinado a construir flows públicos. Este endpoint acepta datos externos para definir los nodos del flujo, incluyendo código Python. Debido a que el servidor ejecuta este código mediante la función exec() sin ninguna validación ni aislamiento, un atacante puede enviar una solicitud especialmente diseñada para ejecutar código arbitrario en el servidor afectado. La explotación de esta vulnerabilidad no requiere credenciales, lo que facilita un ataque rápido y masivo sobre instancias vulnerables.
Esta vulnerabilidad ha sido explotada en el mundo real casi inmediatamente después de su divulgación pública. Se ha observado que atacantes automatizados comenzaron a escanear y atacar instancias vulnerables de Langflow en menos de 24 horas, sin necesidad de código de prueba de concepto público. Esto indica que los adversarios pudieron construir exploits directamente a partir de la información de la falla. Durante estos ataques, los atacantes enviaron solicitudes maliciosas al endpoint afectado, logrando ejecutar código de forma remota y, en varios casos, exfiltrar credenciales y claves API almacenadas en las variables de entorno del servidor. La rapidez con la que se detectó la explotación real subraya un cambio en el panorama de ciberamenazas: hoy, incluso vulnerabilidades recién divulgadas pueden ser rápidamente convertidas en vectores de ataque activos.
Análisis
CVE-2026-33017 - CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
CVE‑2026‑33017 se basa en un fallo de diseño en su API que permite la ejecución remota de código sin necesidad de autenticación. El punto de entrada es un endpoint destinado a crear flows públicos, aceptando datos enviados por cualquier usuario. Estos datos incluyen la definición de los nodos del flujo, y cada nodo puede contener fragmentos de código Python. Langflow procesa estos datos usando la función exec() de Python, que ejecuta literalmente cualquier código que recibe. No hay validaciones ni restricciones que impidan que un atacante inserte instrucciones maliciosas, por lo que al enviar un payload diseñado, un atacante puede ejecutar comandos arbitrarios directamente en el servidor, con los mismos privilegios que la aplicación. La explotación de esta vulnerabilidad permite desde leer variables de entorno y robar credenciales o claves API hasta modificar archivos del sistema o instalar backdoors persistentes. Todo esto puede lograrse únicamente con una solicitud HTTP, sin necesidad de autenticación ni interacción del usuario.
CVE‑2026‑33017 funciona porque Langflow confía ciegamente en los datos externos para construir sus flujos, y ejecuta el código que recibe de forma insegura. Esto convierte cualquier instancia vulnerable en un blanco fácil para atacantes, ya que pueden controlar el servidor completamente y comprometer la seguridad de la red a su alrededor.
Versiones afectadas
Afecta a todas las versiones de Langflow anteriores a la 1.9.0.
Recomendaciones
- Actualizar Langflow a la versión 1.9.0 o superior
- Restringir el acceso al endpoint afectado mediante reglas de firewall o API gateway
- Deshabilitar temporalmente la creación de flows públicos
- Utilizar un firewall de aplicaciones web (WAF) para filtrar cargas de código maliciosas
Workarounds
No hay workarounds para esta vulnerabilidad.