Kwetsbaarheid / lek

De CISA waarschuwt voor een actief uitgebuite kritieke kwetsbaarheid in Langflow

Een kritieke kwetsbaarheid is ontdekt in Langflow, een open source platform voor het maken van AI-agenten, waardoor Remote Code Execution mogelijk is zonder authenticatie. De kwetsbaarheid, nu opgelost in versie 1.3.0, is toegevoegd aan de catalogus van bekende geëxploiteerde kwetsbaarheden van de CISA, die een onmiddellijke update aanbeveelt.

MAMarie-Claude Benoit · ·2 min
De CISA waarschuwt voor een actief uitgebuite kritieke kwetsbaarheid in Langflow
Inhoud
Onderzoekers van Horizon3.ai hebben een kritieke kwetsbaarheid geïdentificeerd in Langflow, een open source platform voor het ontwerpen van AI-agentenketens. Deze kwetsbaarheid, aangeduid met de code CVE-2025-3248, maakt Remote Code Execution mogelijk via een eindpunt dat toegankelijk is zonder authenticatie. Dit komt door het directe gebruik van de exec() functie op door de gebruiker ingediende code, zonder enige beperking of filter. Hoewel dit probleem is opgelost in versie 1.3.0, heeft het Amerikaanse Agentschap voor Cyberbeveiliging en Infrastructuurbeveiliging (CISA) het op 5 mei toegevoegd aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden (KEV), op basis van bewijs van actieve exploitatie.
 
Opgericht in 2020 en in 2024 overgenomen door DataStax, biedt Langflow een visuele interface waarmee gebruikers AI-agenten en complexe werkstromen kunnen creëren uit taalmodellen, API's en databases. Deze low-code open source tool is bedoeld voor ontwikkelaars die snel generatieve applicaties willen prototypen, terwijl ze een gedetailleerde controle behouden over de technische componenten. Het platform is gebaseerd op de LangChain-keten, waardoor het populair is in RAG (retrieval-augmented generation) en multi-agent projecten.
 
Om de aangepaste uitbreiding van componenten mogelijk te maken, biedt Langflow een code-validatie eindpunt "/api/v1/validate/code". Dit mechanisme, bedoeld om gebruikersscripts te testen, is gebaseerd op een directe uitvoering van Python-code via exec() zonder toegangscontrole of beveiligde omgeving (sandboxing). Dit resulteert in een kritieke kwetsbaarheid: een eenvoudige HTTP-verzoek kan, zonder authenticatie, de onderliggende server overnemen.

Deze kwetsbaarheid, aangetoond door het offensieve onderzoeksteam van Horizon3.ai, gespecialiseerd in proactieve kwetsbaarheidsdetectie, wordt als kritiek geclassificeerd, met een score van 9,8/10 op de CVSS-schaal (Common Vulnerability Scoring System). De gedetailleerde publicatie onthult niet alleen de kwetsbaarheid, maar biedt ook een toegankelijke bewijs van concept, waardoor de risico's concreet en begrijpelijk worden voor een breed technisch publiek.
 

Aanbevelingen

Na de bekendmaking heeft de CISA een beveiligingswaarschuwing uitgegeven waarin overheidsinstanties en bedrijven wordt aanbevolen om onmiddellijk bij te werken naar versie 1.3.0, uitgebracht op 31 maart, aangezien eerdere versies vatbaar zijn voor injectie van willekeurige code.
 
De onderzoekers van Horizon3.ai, die erop wijzen dat meer dan 500 Langflow-instanties op internet zijn blootgesteld, benadrukken:
 
"Over het algemeen raden we aan voorzichtig te zijn bij het blootstellen van recent ontwikkelde AI-tools aan internet. Als u ze extern moet blootstellen, overweeg dan om ze in een geïsoleerde VPC en/of achter SSO te plaatsen. Eén enkele implementatie van deze tools op een cloud-instantie kan al leiden tot een inbreuk."
MA
Marie-Claude Benoit

Redactie ActuIA — nieuws, data en analyses over kunstmatige intelligentie voor besluitvormers.