Krytyczna luka w zabezpieczeniach Langflow (CVE-2025-3248) jest aktywnie wykorzystywana, ostrzega CISA

CISA ostrzega przed aktywnym wykorzystaniem krytycznej luki w zabezpieczeniach Langflow (CVE-2025-3248). Krytyczna luka RCE umożliwia całkowite przejęcie serwera. Teraz poprawka do wersji 1.3.0!

W kwietniu 2025 r. badacze ds. cyberbezpieczeństwa z Horizon3.ai odkryli krytyczną lukę w zabezpieczeniach, oznaczoną CVE-2025-3248 z kodem CVSS 9.8, w Langflow, powszechnie przyjętym narzędziu typu open source do tworzenia przepływów pracy opartych na sztucznej inteligencji agentowej ( Agentic AI ).

Ta luka, luka w zabezpieczeniach umożliwiająca wstrzykiwanie kodu, stanowiła poważne ryzyko, ponieważ umożliwiała nieautoryzowanym zdalnym atakującym łatwe przejęcie pełnej kontroli nad serwerami Langflow. Chociaż problem z bezpieczeństwem został naprawiony w wersji Langflow 1.3.0, luka była aktywnie wykorzystywana przez podmioty atakujące.

Informację tę ujawniła Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), która 5 maja 2025 r. dodała tę lukę do swojego katalogu znanych luk w zabezpieczeniach, podkreślając jej powagę i pilną potrzebę zastosowania poprawki.

Dla twojej informacji, projekt Langflow wspierany przez IBM i DataStax ma funkcję, która pozwala użytkownikom zmieniać i uruchamiać kod Pythona, który sprawia, że ​​jego wizualne części działają. Ta „zdalna funkcja wykonywania kodu” jest dostępna dla każdego zalogowanego użytkownika. Jednak, mimo że miała zapewniać elastyczność, nieumyślnie otworzyła krytyczną lukę w zabezpieczeniach.

Według badań Horizon3.ai, udostępnionych Hackread.com, luka została zidentyfikowana w nieuwierzytelnionym punkcie końcowym API, /api/v1/validate/code , który wykonywał kod Pythona na podstawie niezaufanych danych wejściowych użytkownika. Podczas gdy wstępna analiza wykazała, że ​​Langflow próbuje analizować i weryfikować te dane wejściowe, później badacze odkryli sprytną metodę omijania tych sprawdzeń — wykorzystując sposób, w jaki Python obsługuje dekoratory funkcji.

Te dekoratory, zazwyczaj używane do ulepszania zachowania funkcji, mogą być w rzeczywistości dowolnym kodem Pythona. Poprzez wstrzykiwanie złośliwego kodu do dekoratora, atakujący może wykonywać polecenia na serwerze nawet bez właściwego uwierzytelnienia.

Horizon3.ai pokazało powagę tej wady, pokazując, jak można jej użyć do utworzenia zdalnej powłoki, a nawet wyodrębnienia poufnych informacji z serwera Langflow skonfigurowanego z uwierzytelnianiem.

Po publicznym ujawnieniu inny badacz (@_r00tuser) zidentyfikował alternatywną ścieżkę eksploatacji wykorzystującą domyślny argument funkcji Pythona. „Po prostu wrzuć podatny kod do DeepSeek, a on pomyślnie skonstruuje kod eksploatacji, a nawet pomoże ci skonstruować echo POC” – napisał badacz na X.

#CVE -2025-3248 #DeepSeek在复现LangFlow Zobacz więcej功构造出了漏洞利用代码,甚至还能帮你构造一个回显的POC。👍👍 https://t.co/IAz2Zo8bVu pic.twitter.com/Mblnkwubrk

— kking (@_r00tuser) 9 kwietnia 2025 r

Użytkownikom zdecydowanie zaleca się aktualizację narzędzia do najnowszej wersji. Poprawka zabezpieczeń implementuje uwierzytelnianie dla wcześniej podatnego punktu końcowego. Organizacje wykorzystujące Langflow muszą nadać priorytet aktualizacji do wersji 1.3.0 lub wdrożyć ścisłe kontrole dostępu do sieci, aby ograniczyć potencjalne narażenie.