Vulnerabilidades crítica en Langflow 2025
Vulnerabilidad - 17 junio
Introducción
La CVE-2025-3248 es una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Langflow, una herramienta de desarrollo de aplicaciones de inteligencia artificial que facilita la creación de agentes y flujos de trabajo mediante un entorno de bajo código, basada en Python.
Análisis
CVE-2025-3248 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8
El endpoint vulnerable no realiza una validación adecuada del código que recibe para su validación. Específicamente, permite que un atacante envíe código malicioso en campos que son procesados directamente por funciones de Python como compile() y exec(). Estas funciones permiten la compilación y ejecución dinámica de código, lo que abre la puerta a que cualquier código arbitrario que envíe el atacante sea ejecutado directamente en el servidor donde está corriendo Langflow.
Versiones afectadas
Esta vulnerabilidad fue descubierta en versiones anteriores a la 1.3.0 de Langflow.
Recomendaciones
- Actualizar a la versión 1.3.0 o superior, que implementa medidas de autenticación en el endpoint vulnerable
- Restringir el acceso público al endpoint /api/v1/validate/code mediante firewalls o configuraciones de red
- Monitorear los registros de acceso en busca de solicitudes POST sospechosas dirigidas a este endpoint
Workarounds
No hay workarounds para esta vulnerabilidad.