Horizon3.ai araştırmacıları tarafından Langflow'da, açık kaynak kodlu bir AI ajan zinciri tasarım platformunda kritik bir güvenlik açığı tespit edildi. CVE-2025-3248 kodu ile referans verilen bu güvenlik açığı, kullanıcı doğrulaması olmadan erişilebilen bir endpoint üzerinden uzaktan kod yürütmeye (Remote Code Execution) olanak tanıyor. Sorunun kaynağı, kullanıcı tarafından gönderilen kodun doğrudan
exec() fonksiyonu ile herhangi bir filtre veya kısıtlama olmadan çalıştırılması. 1.3.0 sürümünde düzeltilmiş olmasına rağmen, Amerikan Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 5 Mayıs tarihinde bu açığı bilinen istismar edilen güvenlik açıkları kataloğuna (KEV) eklemiştir.2020 yılında kurulan ve 2024'te DataStax tarafından satın alınan Langflow, dil modelleri, API'ler ve veritabanlarından karmaşık iş akışları ve AI ajanları oluşturmak için görsel bir arayüz sunmaktadır. Düşük kodlu bu açık kaynaklı araç, geliştiricilerin hızlı bir şekilde jeneratif uygulamalar prototiplemesine olanak tanırken, teknik bileşenler üzerinde detaylı kontrol sağlar. Platformun motoru LangChain zincirine dayanır ve bu da onu RAG (retrieval-augmented generation) ve çoklu ajan projelerinde popüler kılar.
Özelleştirilmiş bileşenlerin genişletilmesini sağlamak için Langflow, kullanıcı kodlarını test etmeyi kolaylaştırmak amacıyla bir kod doğrulama endpoint'i "
/api/v1/validate/code" sunmaktadır. Bu mekanizma, doğrudan exec() ile Python kodu çalıştırmaya dayanır ve herhangi bir erişim kontrolü veya güvenli bir ortam (sandboxing) olmaksızın çalışır. Bu, basit bir HTTP isteğinin doğrulama olmadan alttaki sunucunun kontrolünü ele geçirmesine izin veren kritik bir güvenlik açığı oluşturur.Horizon3.ai'nin proaktif güvenlik açıkları tespitinde uzmanlaşmış saldırı araştırma ekibi tarafından ortaya çıkarılan bu güvenlik açığı, CVSS (Common Vulnerability Scoring System) ölçeğinde 9,8/10 puanla kritik olarak sınıflandırılmıştır. Ayrıntılı yayında, açığın yanı sıra erişilebilir bir konsept kanıtı da sunulmuştur, bu da riskleri geniş bir teknik kitle için somut ve anlaşılır kılar.
Tavsiyeler
İfşanın ardından, CISA, hükümet ajansları ve şirketlere, 31 Mart tarihinde yayınlanan 1.3.0 sürümüne acilen güncelleme yapmalarını tavsiye eden bir güvenlik uyarısı yayınladı, önceki sürümlerin keyfi kod enjeksiyonuna açık olabileceğine dikkat çekildi.
Horizon3.ai araştırmacıları, Internet'e açık olan 500'den fazla Langflow örneği olduğunu hatırlatarak şunları vurguladı:
"Genel olarak, yeni geliştirilen AI araçlarının Internet'e açılması konusunda dikkatli olmanızı öneriyoruz. Eğer dışa açmanız gerekiyorsa, izole bir VPC içinde ve/veya SSO arkasında tutmayı düşünün. Bu araçlardan birinin bulut üzerinde bir instance'da dağıtılması, bir ihlal için yeterlidir."
