CSO Online melder at CVE-2026-5027, en path traversal-feil i Langflow med CVSS-score 8.8, nå utnyttes aktivt i angrep. Sikkerhetsselskapet VulnCheck har bekreftet forsøk på å plassere filer på sårbare systemer, og offentlig POC-kode fra EQST Lab senker terskelen ytterligere.
Langflow er en populær low-code-plattform for å bygge KI-agenter, RAG-pipelines og MCP-baserte arbeidsflyter med dra-og-slipp. Feilen ligger i endepunktet POST /api/v2/files, som ikke validerer «filename»-parameteren og lar angripere skrive filer utenfor opplastingsmappa med «../»-sekvenser. Det alvorlige: Langflow leveres med innlogging skrudd av som standard, så ett enkelt kall uten innlogging holder.
«Fordi plattformen leveres med innlogging deaktivert som standard, krever utnyttelse én forespørsel uten legitimasjon, og resultatet er full overtakelse av maskinen.» — Jim Sherlock, VP for cybersikkerhets-R&D i ProCircular
Et vilkårlig fil-skriv er farligere enn vanlig opplasting fordi angriperen styrer både innholdet og hvor filen havner. Avhengig av rettighetene Langflow-prosessen kjører med, kan det bety overskriving av oppstartsfiler, persistens via shell-init og opptrapping til full kodekjøring. Cloud Security Alliance anslår at rundt 7 000 Langflow-instanser står eksponert mot internett.
Hva bør du gjøre?
- Oppgrader straks til Langflow 1.9.0 eller nyere (1.10.0 er gjeldende). Feilen rammer alle versjoner til og med 1.8.4.
- Slå på autentisering hvis du midlertidig må kjøre en eldre versjon: auto-login er selve årsaken til at angrepet kan kjøres uten innlogging.
- Ta Langflow av offentlig internett. Legg den bak VPN eller intern brannmur til du har patchet, og let etter ukjente filer skrevet utenfor opplastingsmappa.
Bakgrunn
Patchen kom i versjon 1.9.0 den 15. april, 73 dager etter at feilen ble meldt til leverandøren, men mange instanser ble aldri oppdatert. Angrepet føyer seg inn i en bredere trend der KI-infrastruktur blir et mål i seg selv.