Ejecución de código en remoto sin autenticación en Langflow
Langflow, versión 1.8.1 y anteriores.
Langflow ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto sin autenticación.
Por el momento no existe un parche que resuelva el problema, sin embargo, se recomienda reconfigurar el producto de la siguiente forma para evitar verse afectado por esta vulnerabilidad:
- En ‘build_public_tmp‘ eliminar el parámetro ‘data‘. Los flujos públicos solo deberían ejecutar sus flujos de datos almacenados, no los proporcionados por un atacante.
- En ‘generate_flow_events → create_graph()‘, la única ruta que debería estar habilitada para peticiones no autenticadas es ‘build_graph_from_db‘.
CVE-2026-33017: el endpoint ‘POST /api/v1/build_public_tmp/{flow_id}/flow‘ permite crear flujos públicos sin necesidad de autenticación. Cuando se aporta el parámetro opcional ‘data‘ el endpoint utiliza un flujo de datos controlado por el atacante (que contiene código Python arbitrario en las definiciones del nodo) en lugar del flujo almacenado en la base de datos. Este código se pasa a ‘exec()‘ sin ningún aislamiento (sandbox), lo que deriva en una ejecución de código en remoto sin autenticación.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-33017 | Crítica | No | Langflow |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.