Критична вразливість була виявлена дослідниками з Horizon3.ai в Langflow, платформі з відкритим кодом для проєктування ланцюгів агентів ШІ. Зазначена під кодом CVE-2025-3248, ця вразливість дозволяє віддалене виконання коду (Remote Code Execution) через кінцеву точку, доступну без аутентифікації. Причина: безпосереднє використання функції
exec() для коду, наданого користувачем, без обмеження чи фільтрації. Хоча виправлена у версії 1.3.0, Американське агентство з кібербезпеки та безпеки інфраструктур (CISA) 5 травня додало її до свого каталогу відомих експлуатованих вразливостей (KEV), на основі доказів активної експлуатації.Заснована у 2020 році та придбана у 2024 році компанією DataStax, Langflow пропонує візуальний інтерфейс для створення агентів ШІ та складних робочих процесів на основі мовних моделей, API та баз даних. Цей інструмент з відкритим кодом розрахований на розробників, які бажають швидко прототипувати генеративні застосунки, зберігаючи при цьому детальний контроль над технічними компонентами. Мотор платформи базується на ланцюзі LangChain, що пояснює її популярність у проектах RAG (retrieval-augmented generation) та мультиагентних системах.
Для розширення налаштувань компонентів Langflow надає кінцеву точку для перевірки коду "/api/v1/validate/code". Задуманий для полегшення тестування користувацьких скриптів, цей механізм базується на прямому виконанні коду Python через
exec() без контролю доступу чи безпечного середовища (пісочниці). У результаті виникає критична вразливість: простий HTTP-запит дозволяє без аутентифікації отримати контроль над сервером, що підлягає.Ця вразливість, висвітлена командою з дослідницьких атак Horizon3.ai, спеціалізованою на проактивному виявленні вразливостей, класифікується як критична, з оцінкою 9,8/10 за шкалою CVSS (Common Vulnerability Scoring System). Детальна публікація висвітлює не лише вразливість, але й надає доказ концепції, що робить ризики зрозумілими для широкої технічної аудиторії.
Рекомендації
Після розкриття CISA випустило попередження про безпеку, рекомендуючи державним агентствам та компаніям негайно оновитися до версії 1.3.0, випущеної 31 березня, оскільки попередні версії можуть бути уразливі до введення довільного коду.
Дослідники з Horizon3.ai, які нагадують, що понад 500 екземплярів Langflow відкриті в Інтернеті, підкреслюють:
"Загалом, ми рекомендуємо бути обережними при відкритті нових інструментів ШІ в Інтернеті. Якщо ви повинні відкрити його зовні, розгляньте можливість розміщення у ізольованій VPC і/або за SSO. Достатньо одного розгортання цих інструментів на хмарному екземплярі, щоб порушення опинилося в руках".
