← volver
CVE-2026-33017

Langflow has Unauthenticated Remote Code Execution via Public Flow Build Endpoint

CVSS 9.3 CRITICALEPSS 98.4%● KEVCWE-306CWE-94CWE-95
En resumen

Langflow permite que cualquier persona ejecute código arbitrario en el servidor a través de un endpoint público enviando definiciones de flujo maliciosas sin necesidad de iniciar sesión. Un atacante puede ejecutar cualquier comando en la máquina que ejecuta Langflow.

Detalle técnico

El endpoint POST /api/v1/build_public_tmp/{flow_id}/flow en Langflow anterior a la versión 1.9.0 acepta un parámetro data opcional conteniendo definiciones de flujo controladas por el atacante, con código Python arbitrario en definiciones de nodos, que se ejecutan vía exec() sin aislamiento. Al no requerir autenticación en este endpoint público, permite ejecución remota de código no autenticada. La vulnerabilidad fue corregida en versión 1.9.0 eliminando la aceptación de datos de flujo suministrados por el atacante en este endpoint.

Resumen generado y traducido por IA a partir de la descripción oficial.
Langflow is a tool for building and deploying AI-powered agents and workflows. In versions prior to 1.9.0, the POST /api/v1/build_public_tmp/{flow_id}/flow endpoint allows building public flows without requiring authentication. When the optional data parameter is supplied, the endpoint uses attacker-controlled flow data (containing arbitrary Python code in node definitions) instead of the stored flow data from the database. This code is passed to exec() with zero sandboxing, resulting in unauthenticated remote code execution. This is distinct from CVE-2025-3248, which fixed /api/v1/validate/code by adding authentication. The build_public_tmp endpoint is designed to be unauthenticated (for public flows) but incorrectly accepts attacker-supplied flow data containing arbitrary executable code. This issue has been fixed in version 1.9.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Productos afectados
langflow-ai · langflow
PoCs públicas encontradas3
githubgithub.com/Jorrit-VM/CVE-2026-330171githubgithub.com/r3nsi15/CVE-2026-33017-langflow-rce0cve_referencemedium.com/@aviral23/cve-2026-33017-how-i-found-an-unauthenticated-rce-in-langflow-by-reading-the-code-they-already-dc96cdce5896no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/advisories/GHSA-rvqx-wpfh-mfx7https://github.com/langflow-ai/langflow/commit/73b6612e3ef25fdae0a752d75b0fabd47328d4f0https://github.com/langflow-ai/langflow/releases/tag/1.8.2https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvxhttps://medium.com/@aviral23/cve-2026-33017-how-i-found-an-unauthenticated-rce-in-langflow-by-reading-the-code-they-already-dc96cdce5896https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-33017https://www.sysdig.com/blog/cve-2026-33017-how-attackers-compromised-langflow-ai-pipelines-in-20-hours