CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2025-3248

Nieuwierzytelnione RCE w Langflow poprzez wstrzyknięcie kodu w endpoint /api/v1/validate/code

CVSS 9.8v3.1pub. 2025-04-07upd. 2025-11-06

Langflow w wersjach przed 1.3.0 zawiera krytyczną podatność umożliwiającą zdalne wykonanie dowolnego kodu bez uwierzytelnienia. Zagrożenie jest aktywnie wykorzystywane przez atakujących i zostało wpisane do katalogu CISA KEV.

Pokaż oryginał (EN)

Langflow versions prior to 1.3.0 are susceptible to code injection in the /api/v1/validate/code endpoint. A remote and unauthenticated attacker can send crafted HTTP requests to execute arbitrary code.

🤖 Analiza AI
Jak działa

Endpoint /api/v1/validate/code nie wymaga uwierzytelnienia (CWE-306 — brak weryfikacji tożsamości) i podatny jest na wstrzyknięcie kodu (CWE-94). Zdalny atakujący wysyła spreparowane żądanie HTTP do tego endpointu, wstrzykując złośliwy kod, który jest następnie wykonywany po stronie serwera. Brak jakichkolwiek mechanizmów kontroli dostępu sprawia, że atak może przeprowadzić każda osoba mająca dostęp sieciowy do aplikacji.

Skutki

Atakujący może wykonać dowolny kod na serwerze z uprawnieniami procesu Langflow, co w praktyce oznacza pełne przejęcie kontroli nad systemem — kradzież danych, instalację malware lub lateral movement w sieci.

Mitygacja

Należy natychmiast zaktualizować Langflow do wersji 1.3.0 lub nowszej. Patch dostępny jest w oficjalnym repozytorium GitHub projektu (tag 1.3.0). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji Langflow wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Langflow w wersjach wcześniejszych niż 1.3.0

Uwagi

Podatność jest aktywnie exploitowana i figuruje w katalogu CISA Known Exploited Vulnerabilities. Publiczna analiza techniczna dostępna jest w serwisie Horizon3.ai oraz VulnCheck.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Langflow

    APP
    Langflow
    < 1.3.0

CISA KEV — szczegółyi

Dostawcai
Langflow
Produkti
Langflow
Data dodania do KEVi
5 maja 2025
Termin remediation (USA)i
26 maja 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Langflow zawiera lukę związaną z brakiem uwierzytelnienia w endpoincie /api/v1/validate/code, która pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu poprzez spreparowane żądania HTTP.

tłumaczenie AI
Pokaż oryginał (EN)

Langflow contains a missing authentication vulnerability in the /api/v1/validate/code endpoint that allows a remote, unauthenticated attacker to execute arbitrary code via crafted HTTP requests.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 26 maja 2025
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-33017CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Langflow: nieuwierzytelniony RCE przez endpoint budowania publicznych przepływów

CVE-2025-34291CRITICAL9.4⚠ KEVPL ✓ten sam produkt

Langflow: przejęcie konta i RCE przez błędną konfigurację CORS

CVE-2026-10134CRITICAL10.0ten sam produkt

IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process...

CVE-2026-10140CRITICAL9.6ten sam produkt

IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of ...

CVE-2026-7663CRITICAL9.1ten sam produkt

IBM Langflow OSS 1.0.0 through 1.9.6 could allow unauthenticated attackers to access protected MCP project res...