Podatność / luka

CISA ostrzega przed krytyczną luką aktywnie wykorzystywaną w Langflow

Krytyczna luka została zidentyfikowana w Langflow, platformie open source do tworzenia agentów AI, umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia. Luka, naprawiona w wersji 1.3.0, została dodana do katalogu znanych wykorzystywanych luk CISA, która zaleca natychmiastową aktualizację.

MAMarie-Claude Benoit · ·2 min
CISA ostrzega przed krytyczną luką aktywnie wykorzystywaną w Langflow
Spis treści
Krytyczna luka została zidentyfikowana przez badaczy z Horizon3.ai w Langflow, platformie open source do projektowania łańcuchów agentów AI. Zarejestrowana pod kodem CVE-2025-3248, ta luka umożliwia zdalne wykonanie kodu (Remote Code Execution) poprzez punkt końcowy dostępny bez uwierzytelnienia. Przyczyną jest bezpośrednie użycie funkcji exec() na kodzie przesłanym przez użytkownika, bez jakiegokolwiek ograniczenia czy filtracji. Mimo że została naprawiona w wersji 1.3.0, Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastrukturalnego (CISA) dodała ją 5 maja do swojego katalogu znanych wykorzystywanych luk (KEV), na podstawie dowodów aktywnego wykorzystania.
 
Założone w 2020 roku i przejęte w 2024 roku przez DataStax, Langflow oferuje wizualny interfejs umożliwiający tworzenie agentów AI i złożonych przepływów pracy z wykorzystaniem modeli językowych, interfejsów API i baz danych. To narzędzie typu low-code open source jest skierowane do deweloperów, którzy chcą szybko prototypować aplikacje generatywne, zachowując jednocześnie szczegółową kontrolę nad technicznymi komponentami. Silnik platformy opiera się na łańcuchu LangChain, co tłumaczy jego popularność w projektach RAG (retrieval-augmented generation) i multi-agentowych.
 
Aby umożliwić niestandardowe rozszerzanie komponentów, Langflow udostępnia punkt końcowy walidacji kodu "/api/v1/validate/code". Mechanizm ten, mający ułatwić testowanie skryptów użytkowników, opiera się na bezpośrednim wykonaniu kodu Python za pomocą exec() bez kontroli dostępu i bezpiecznego środowiska (sandboxing). Skutkuje to krytyczną luką: proste żądanie HTTP pozwala, bez uwierzytelnienia, przejąć kontrolę nad serwerem bazowym.

Ta luka, ujawniona przez zespół badawczy ofensywny Horizon3.ai, specjalizujący się w proaktywnym wykrywaniu luk, jest klasyfikowana jako krytyczna, z oceną 9,8/10 w skali CVSS (Common Vulnerability Scoring System). Szczegółowa publikacja nie tylko przedstawia lukę, ale również dostarcza dowód koncepcji, czyniąc ryzyka zrozumiałymi i konkretnymi dla szerokiej publiczności technicznej.
 

Zalecenia

W następstwie ujawnienia, CISA wydała ostrzeżenie dotyczące bezpieczeństwa, zalecając agencjom rządowym i firmom natychmiastową aktualizację do wersji 1.3.0, wydanej 31 marca, ponieważ wcześniejsze wersje mogą być podatne na wstrzyknięcie dowolnego kodu.
 
Badacze z Horizon3.ai, którzy przypominają, że ponad 500 instancji Langflow jest wystawionych na działanie Internetu, podkreślają:
 
"Zasadniczo zalecamy ostrożność przy wystawianiu nowych narzędzi AI na działanie Internetu. Jeśli musisz je wystawić na zewnątrz, rozważ umieszczenie ich w izolowanej sieci VPC i/lub za SSO. Wystarczy jedno wdrożenie tych narzędzi na instancji chmurowej, aby doszło do naruszenia bezpieczeństwa".
MA
Marie-Claude Benoit

Redakcja ActuIA — wiadomości, dane i analizy o sztucznej inteligencji dla decydentów.