В сфере информационной безопасности продолжается гонка между разработчиками и злоумышленниками, особенно когда речь заходит о платформах для создания искусственного интеллекта. Эти системы, становящиеся критически важными для бизнес-процессов, представляют собой лакомую цель для киберпреступников. На этой неделе внимание экспертов привлекла новая и крайне опасная проблема в популярном инструменте Langflow, предназначенном для построения и развертывания рабочих процессов на базе ИИ. Американское Агентство по кибербезопасности и инфраструктурной безопасности (CISA) официально добавило уязвимость CVE-2026-33017 в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Этот каталог служит списком критических недостатков, эксплуатация которых уже зафиксирована в реальных атаках, что делает их приоритетом для немедленного исправления.
Уязвимость CVE-2026-33017
Факты инцидента указывают на серьезный просчет в архитектуре безопасности. Уязвимость была обнаружена в версиях Langflow ранее 1.9.0. Проблема кроется в публичном API-эндпоинте "/api/v1/build_public_tmp/{flow_id}/flow", который предназначен для сборки публично доступных рабочих процессов. По задумке, такой эндпоинт не должен требовать аутентификации, чтобы позволить любому пользователю запустить опубликованный поток. Однако, помимо идентификатора потока, эндпоинт некорректно принимал необязательный параметр "data". Если злоумышленник передавал через этот параметр специально сформированные данные, содержащие произвольный Python-код в определениях узлов рабочего процесса, система использовала эти данные вместо информации, хранящейся в базе данных.
Экспертиза выявляет классическую, но от этого не менее опасную цепочку ошибок. Ключевым моментом является то, что полученный от атакующего код в дальнейшем передавался на выполнение встроенной в Python функции "exec()" без какой-либо изоляции или "песочницы". Это привело к реализации сценария удаленного выполнения кода (RCE) без необходимости аутентификации. Важно отметить, что данная уязвимость является отдельной от ранее исправленной CVE-2025-3248, которая затрагивала другой эндпоинт и была закрыта добавлением проверки подлинности. В случае с CVE-2026-33017 ошибка заключалась в самой логике работы публичного интерфейса: он был спроектирован как открытый, но при этом некритично доверял входящим от пользователя данным, позволяя полностью подменять исполняемую логику рабочего процесса. Классификации CWE (Common Weakness Enumeration) четко определяют корень проблемы: неправильный контроль генерации кода, некорректная нейтрализация директив в динамически выполняемом коде и, что критически важно, отсутствие аутентификации для критической функции.
Последствия успешной эксплуатации такой уязвимости катастрофичны для организации. Злоумышленник, обнаруживший экземпляр уязвимой версии Langflow в сети, может получить полный контроль над сервером, на котором он развернут. Это открывает путь к установке программ-вымогателей, краже конфиденциальных данных, включая модели ИИ, тренировочные наборы и API-ключи, а также к дальнейшему продвижению по корпоративной сети. Учитывая, что Langflow часто используется для создания бизнес-автоматизаций, атака может привести не только к утечке информации, но и к нарушению ключевых операционных процессов, что выльется в прямые финансовые потери и репутационный ущерб. Присвоенный уязвимости рейтинг CVSS 4.0 в 9.3 баллов (критический) лишь подтверждает масштаб угрозы.
Вывод для специалистов по безопасности и администраторов очевиден и требует безотлагательных действий. Разработчики Langflow уже выпустили исправление в версии 1.9.0, которое полностью устраняет проблему. Таким образом, первостепенной задачей является немедленное обновление всех развернутых экземпляров Langflow до актуальной версии. Кроме того, данный инцидент служит важным напоминанием о принципах безопасной разработки. Даже функционал, предназначенный для публичного использования, должен подвергаться тщательной проверке входных данных, а выполнение динамического кода, особенно в контексте систем ИИ, требует строгой изоляции. Мониторинг сетевой активности на предмет подозрительных запросов к API-эндпоинтам также может помочь в раннем обнаружении попыток эксплуатации. В условиях, когда инструменты для работы с искусственным интеллектом стремительно встраиваются в бизнес-инфраструктуру, их безопасность перестает быть технической деталью и становится вопросом стратегической устойчивости компании.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33017
- https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx
- https://github.com/langflow-ai/langflow/commit/73b6612e3ef25fdae0a752d75b0fabd47328d4f0
- https://github.com/advisories/GHSA-rvqx-wpfh-mfx7
- https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog
