Uma vulnerabilidade crítica foi identificada por pesquisadores da Horizon3.ai no Langflow, uma plataforma open source de design de cadeias de agentes IA. Referenciada sob o código CVE-2025-3248, essa vulnerabilidade permite a execução de código remoto (Remote Code Execution) através de um endpoint acessível sem autenticação. A causa: o uso direto da função
exec() em código submetido pelo usuário, sem confinamento ou filtro. Embora corrigida na versão 1.3.0, a Agência Americana de Cibersegurança e Segurança de Infraestrutura (CISA) a adicionou em 5 de maio ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV), com base em provas de exploração ativa.Fundada em 2020 e adquirida em 2024 pela DataStax, Langflow oferece uma interface visual que permite criar agentes de IA e fluxos de trabalho complexos a partir de modelos de linguagem, APIs e bancos de dados. Esta ferramenta low-code open source destina-se a desenvolvedores que desejam prototipar rapidamente aplicações generativas enquanto mantêm um controle granular sobre os componentes técnicos. O motor da plataforma baseia-se na cadeia LangChain, o que explica sua popularidade em projetos RAG (retrieval-augmented generation) e multi-agentes.
Para permitir a extensão personalizada de componentes, Langflow expõe um endpoint de validação de código "/api/v1/validate/code". Destinado a facilitar o teste de scripts de usuários, este mecanismo baseia-se em uma execução direta de código Python via
exec() sem controle de acesso ou ambiente seguro (sandboxing). Isso resulta em uma vulnerabilidade crítica: uma simples solicitação HTTP permite, sem autenticação, assumir o controle do servidor subjacente.Essa vulnerabilidade, destacada pela equipe de pesquisa ofensiva da Horizon3.ai, especializada na detecção proativa de vulnerabilidades, é classificada como crítica, com uma nota de 9,8/10 na escala CVSS (Common Vulnerability Scoring System). A publicação detalhada expõe não apenas a falha, mas também fornece uma prova de conceito acessível, tornando os riscos concretos e compreensíveis para um público técnico amplo.
As recomendações
Na sequência da divulgação, a CISA emitiu um alerta de segurança recomendando às agências governamentais e empresas uma atualização imediata para a versão 1.3.0, publicada em 31 de março, pois as versões anteriores são suscetíveis à injeção de código arbitrário.
Os pesquisadores da Horizon3.ai, que lembram que mais de 500 instâncias do Langflow estão expostas na Internet, destacam:
"De modo geral, recomendamos cautela ao expor na Internet ferramentas de IA recentemente desenvolvidas. Se você precisar expor externamente, considere colocá-lo em um VPC isolado e/ou atrás do SSO. Basta um único deployment dessas ferramentas em uma instância na nuvem para que uma violação esteja em mãos."
