Langflow, популярный инструмент с открытым исходным кодом для создания и развёртывания агентов и рабочих процессов на основе технологий искусственного интеллекта, оказался в центре внимания специалистов по кибербезопасности. В Банк данных угроз безопасности информации (BDU) была внесена запись о критической уязвимости, которая позволяет удалённо выполнить произвольный код без какой-либо аутентификации. Речь идёт об уязвимости BDU:2026-06918, которой присвоен международный идентификатор CVE-2026-33017.
Детали уязвимости
Проблема кроется в конечной точке прикладного программного интерфейса (API) "/api/v1/build_public_tmp/{flow_id}/flow". Дело в том, что эта функция не требует подтверждения личности пользователя. Другими словами, любой злоумышленник, имеющий доступ к сети, где работает экземпляр Langflow, может отправить вредоносный запрос и выполнить команды на сервере. В экспертной среде такой тип атаки называют отсутствием аутентификации для критичной функции (CWE-306). В данном случае эта ошибка сочетается с возможностью внедрения кода (CWE-94) и непринятием мер по нейтрализации инструкций в динамически исполняемом коде (CWE-95).
Согласно аналитике, уровень опасности уязвимости оценён как критический. Система CVSS версии 3.1 присвоила ей 9,8 балла из 10 возможных. А по более старой шкале CVSS 2.0 оценка составила максимальные 10 баллов. Это означает, что эксплуатировать уязвимость крайне просто: она не требует сложных условий, специальных привилегий или взаимодействия с пользователем. Достаточно лишь сетевого доступа к уязвимому сервису.
Кому стоит опасаться этой проблемы? Прежде всего компаниям, которые используют Langflow для создания ИИ-агентов или автоматизированных рабочих процессов. Инструмент популярен среди разработчиков, инженеров по данным и исследователей в области машинного обучения. Langflow применяют как в небольших стартапах, так и в крупных корпорациях - для внутренних прототипов, интеграции с внешними сервисами и даже в продуктивных средах.
Уязвимость затрагивает все версии Langflow до 1.8.2 включительно. При этом, как отмечают эксперты, эксплойт уже существует в открытом доступе. Это подтверждается и тем, что соответствующие записи внесены в каталог известных эксплуатируемых уязвимостей Агентства по кибербезопасности и безопасности инфраструктуры США (CISA). Следовательно, злоумышленники могут активно сканировать сети в поисках уязвимых экземпляров Langflow.
Как именно происходит атака? Злоумышленник отправляет специально сформированный запрос к уязвимой конечной точке API. Поскольку аутентификация не требуется, сервер обрабатывает входящий код как доверенный. Далее происходит так называемое внедрение инструкций: вредоносная полезная нагрузка исполняется в контексте приложения. В результате нарушитель может не только получить контроль над сервером, но и похитить данные, нарушить работу сервиса или использовать ресурсы для дальнейших атак.
К каким последствиям это может привести? В худшем случае - полная компрометация системы. Злоумышленник может получить доступ к конфиденциальной информации, включая данные клиентов, коммерческие тайны или внутреннюю документацию. Кроме того, возможен простой в работе сервисов, что ведёт к финансовым потерям и репутационному ущербу.
Любопытный факт: исследователь, обнаруживший уязвимость, опубликовал подробный анализ в своём блоге, где признался, что нашёл проблему, просто внимательно читая исходный код Langflow. Это лишний раз напоминает о важности аудита безопасности на ранних этапах разработки.
Что делать специалистам по информационной безопасности? В первую очередь - обновить Langflow до версии 1.8.2 или выше. Производитель уже выпустил исправление, и уязвимость официально устранена. Если по каким-то причинам обновление невозможно прямо сейчас, необходимо как можно быстрее ограничить доступ к уязвимой конечной точке API. Например, настроить межсетевой экран таким образом, чтобы принимать запросы только из доверенных подсетей. Также стоит включить логирование и мониторинг аномальной активности - это поможет вовремя заметить попытки атаки.
В заключение стоит подчеркнуть, что данная уязвимость - не единичный случай. Проблемы с аутентификацией и внедрением кода остаются одними из самых распространённых в веб-приложениях. Langflow - мощный, но относительно молодой инструмент, и подобные инциденты напоминают, что любое ПО, особенно связанное с разработкой искусственного интеллекта, требует тщательной проверки безопасности. Компаниям, которые активно внедряют ИИ-решения, следует включить регулярный аудит кода и тестирование на проникновение в свой регламент.
Специалистам же по безопасности стоит немедленно проверить версии Langflow в своей инфраструктуре. Если вы используете версию ниже 1.8.2, считайте, что ваша система открыта для атаки. Обновление займёт несколько минут, а вот последствия промедления могут быть катастрофическими.
Ссылки
- https://bdu.fstec.ru/vul/2026-06918
- https://www.cve.org/CVERecord?id=CVE-2026-33017
- https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx
- https://github.com/langflow-ai/langflow/commit/73b6612e3ef25fdae0a752d75b0fabd47328d4f0
- https://medium.com/@aviral23/cve-2026-33017-how-i-found-an-unauthenticated-rce-in-langflow-by-reading-the-code-they-already-dc96cdce5896
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-33017
- https://github.com/MaxMnMl/langflow-CVE-2026-33017-poc
- https://darkwebinformer.com/cisa-kev-catalog/
