Schwachstelle / Lücke

Die CISA warnt vor einer aktiv ausgenutzten kritischen Schwachstelle in Langflow

Eine kritische Schwachstelle wurde in Langflow entdeckt, einer Open-Source-Plattform zur Erstellung von KI-Agenten, die die Ausführung von Code aus der Ferne ohne Authentifizierung erlaubt. Die Schwachstelle, die in Version 1.3.0 behoben wurde, wurde von der CISA in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen, mit der Empfehlung einer sofortigen Aktualisierung.

MAMarie-Claude Benoit · ·2 min
Die CISA warnt vor einer aktiv ausgenutzten kritischen Schwachstelle in Langflow
Inhalt
Eine kritische Schwachstelle wurde von den Forschern von Horizon3.ai in Langflow, einer Open-Source-Plattform zur Gestaltung von KI-Agenten-Ketten, identifiziert. Unter dem Code CVE-2025-3248 referenziert, ermöglicht diese Schwachstelle die Ausführung von Code aus der Ferne (Remote Code Execution) über einen ohne Authentifizierung zugänglichen Endpunkt. Ursache ist die direkte Verwendung der Funktion exec() auf vom Benutzer eingereichtem Code, ohne Einschränkung oder Filter. Obwohl in Version 1.3.0 behoben, hat die amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sie am 5. Mai in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen, basierend auf Beweisen für aktive Ausnutzung.
 
Gegründet im Jahr 2020 und im Jahr 2024 von DataStax übernommen, bietet Langflow eine visuelle Schnittstelle zur Erstellung von KI-Agenten und komplexen Arbeitsabläufen aus Sprachmodellen, APIs und Datenbanken. Dieses Low-Code-Open-Source-Tool richtet sich an Entwickler, die schnell generative Anwendungen prototypisieren möchten, während sie eine granulare Kontrolle über die technischen Komponenten behalten. Die Plattform basiert auf der LangChain-Kette, was ihre Beliebtheit in RAG-Projekten (retrieval-augmented generation) und Multi-Agenten erklärt.
 
Um die individuelle Erweiterung von Komponenten zu ermöglichen, stellt Langflow einen Code-Validierungsendpunkt "/api/v1/validate/code" zur Verfügung. Dieser soll das Testen von Benutzerskripten erleichtern und basiert auf der direkten Ausführung von Python-Code über exec() ohne Zugriffskontrolle oder gesicherte Umgebung (Sandboxing). Dies führt zu einer kritischen Schwachstelle: Eine einfache HTTP-Anfrage ermöglicht es ohne Authentifizierung, die Kontrolle über den zugrunde liegenden Server zu übernehmen.

Diese Schwachstelle, hervorgehoben vom Offensive Research Team von Horizon3.ai, das sich auf die proaktive Erkennung von Schwachstellen spezialisiert hat, wird als kritisch eingestuft und erhält eine Bewertung von 9,8/10 auf der CVSS-Skala (Common Vulnerability Scoring System). Die detaillierte Veröffentlichung zeigt nicht nur die Schwachstelle auf, sondern liefert auch einen zugänglichen Proof of Concept, der die Risiken für ein breites technisches Publikum konkret und verständlich macht.
 

Die Empfehlungen

Im Zuge der Offenlegung hat die CISA eine Sicherheitswarnung herausgegeben, die Regierungsbehörden und Unternehmen eine sofortige Aktualisierung auf Version 1.3.0 empfiehlt, die am 31. März veröffentlicht wurde, da frühere Versionen anfällig für die Injektion von beliebigem Code sind.
 
Die Forscher von Horizon3.ai, die darauf hinweisen, dass über 500 Instanzen von Langflow im Internet exponiert sind, betonen:
 
"Generell empfehlen wir Vorsicht beim Exponieren von kürzlich entwickelten KI-Tools im Internet. Wenn Sie es extern exponieren müssen, sollten Sie es in einem isolierten VPC und/oder hinter dem SSO platzieren. Es genügt eine einzige Bereitstellung dieser Tools auf einer Cloud-Instanz, damit eine Verletzung in den Händen liegt."
MA
Marie-Claude Benoit

ActuIA-Redaktion — Nachrichten, Daten und Analysen zur künstlichen Intelligenz für Entscheidungsträger.