CVE-2026-5027 w Langflow: niezałatana luka umożliwia nieuwierzytelnione zdalne wykonanie kodu - Security Bez Tabu

CVE-2026-5027 w Langflow: niezałatana luka umożliwia nieuwierzytelnione zdalne wykonanie kodu

Cybersecurity news

Wprowadzenie do problemu / definicja

W ekosystemie narzędzi do budowy aplikacji AI rośnie liczba incydentów związanych z bezpieczeństwem komponentów open source. Jednym z najnowszych przykładów jest podatność CVE-2026-5027 w Langflow, platformie low-code służącej do projektowania przepływów pracy dla aplikacji opartych na sztucznej inteligencji. Problem ma charakter path traversal i może prowadzić do zapisu plików w dowolnych lokalizacjach systemu plików, a w praktyce również do zdalnego wykonania kodu bez uwierzytelnienia.

W skrócie

CVE-2026-5027 to luka wysokiego ryzyka w Langflow, oceniona na 8.8 w skali CVSS. Podatność dotyczy endpointu odpowiedzialnego za przesyłanie plików i wynika z braku poprawnej sanitizacji parametru nazwy pliku. Atakujący może wykorzystać sekwencje przejścia po katalogach do zapisu plików poza oczekiwanym katalogiem aplikacji.

Dodatkowym problemem jest domyślne zachowanie platformy, które umożliwia automatyczne logowanie bez uwierzytelnienia, co znacząco upraszcza eksploatację. Według dostępnych informacji luka jest już aktywnie wykorzystywana w środowisku rzeczywistym.

Kontekst / historia

Langflow jest wykorzystywany do szybkiego budowania oraz orkiestracji aplikacji AI, co sprawia, że często trafia do środowisk testowych, deweloperskich, a niekiedy również produkcyjnych. Tego typu platformy bywają wystawiane bezpośrednio do internetu, ponieważ mają zapewniać wygodny dostęp zespołom technicznym.

Podatność została opisana jako niezałatana w momencie nagłośnienia sprawy. Badacze wskazali, że problem był wcześniej zgłaszany opiekunom projektu, a następnie publicznie ujawniony po nieudanych próbach koordynacji procesu naprawy. Równolegle pojawiły się obserwacje wskazujące na aktywne próby wykorzystania błędu przeciwko publicznie dostępnym instancjom. To wpisuje się w szerszy trend ataków na narzędzia wspierające rozwój i wdrażanie rozwiązań AI.

Analiza techniczna

Źródłem problemu jest endpoint POST /api/v2/files, który nie filtruje poprawnie parametru filename przekazywanego w danych multipart. W praktyce oznacza to możliwość użycia sekwencji takich jak ../ do zapisu pliku poza przewidzianą lokalizacją roboczą aplikacji.

Sam path traversal nie zawsze oznacza natychmiastowe przejęcie hosta, ale w tym przypadku ryzyko rośnie ze względu na charakter platformy i sposób jej wdrażania. Jeśli proces Langflow działa z odpowiednimi uprawnieniami, atakujący może zapisać plik w miejscu, które zostanie później wykonane lub załadowane przez aplikację, przez interpreter albo przez elementy środowiska uruchomieniowego. To właśnie ten etap otwiera drogę do zdalnego wykonania kodu.

Krytyczny jest również aspekt nieuwierzytelnionego dostępu. Jeżeli instancja działa z domyślną konfiguracją automatycznego logowania, napastnik nie potrzebuje ważnych poświadczeń, aby uzyskać sesję i następnie wywołać podatny endpoint. W efekcie łańcuch ataku może ograniczać się do pojedynczego żądania inicjującego sesję oraz kolejnego żądania zapisującego złośliwy plik.

Dotychczas obserwowane działania wskazywały między innymi na zapisywanie plików testowych na systemach ofiar. Taki wzorzec często oznacza fazę rozpoznania lub weryfikacji podatności przed wdrożeniem pełnego ładunku malware, web shella albo mechanizmu trwałości.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją CVE-2026-5027 jest możliwość pełnego kompromitowania podatnych instancji Langflow. Skutki mogą obejmować:

  • zdalne wykonanie kodu na serwerze,
  • kradzież danych przetwarzanych przez aplikacje AI,
  • przejęcie tokenów API, sekretów i kluczy dostępowych,
  • pivoting do innych systemów w sieci,
  • wdrożenie backdoora lub mechanizmów trwałości,
  • wykorzystanie hosta do dalszych ataków.

Ryzyko jest szczególnie wysokie tam, gdzie Langflow ma dostęp do wrażliwych integracji, takich jak modele LLM, bazy danych wektorowych, systemy CI/CD, repozytoria kodu, magazyny sekretów lub zasoby chmurowe. W takich środowiskach pozornie lokalna podatność aplikacyjna może szybko przerodzić się w incydent obejmujący większą część infrastruktury.

Istotnym czynnikiem ryzyka jest również ekspozycja internetowa. Publicznie dostępne instancje narzędzi developerskich są regularnie skanowane przez cyberprzestępców i grupy APT. Jeśli luka jest już przedmiotem aktywnej eksploatacji, czas reakcji obrońców staje się kluczowy.

Rekomendacje

Organizacje korzystające z Langflow powinny potraktować tę podatność jako incydent wysokiego priorytetu i wdrożyć działania ograniczające ryzyko natychmiast, nawet jeśli oficjalna poprawka nie jest jeszcze dostępna.

Najważniejsze kroki operacyjne:

  • odłączyć publicznie dostępne instancje Langflow od internetu lub ograniczyć do nich dostęp przez VPN, reverse proxy i listy dozwolonych adresów IP,
  • wyłączyć lub ograniczyć mechanizmy automatycznego logowania, jeśli konfiguracja na to pozwala,
  • zablokować lub ściśle filtrować dostęp do endpointów przesyłania plików,
  • uruchamiać usługę z minimalnymi uprawnieniami systemowymi,
  • wdrożyć izolację kontenerową oraz kontrolę zapisu do systemu plików,
  • monitorować logi HTTP pod kątem żądań zawierających sekwencje ../, nietypowe nazwy plików i anomalie w uploadzie,
  • przeszukać hosty pod kątem nieoczekiwanych plików utworzonych przez proces Langflow,
  • zweryfikować integralność kontenerów, obrazów i wolumenów trwałych,
  • rotować sekrety, tokeny API i poświadczenia przechowywane na hostach, które mogły zostać naruszone,
  • wdrożyć reguły detekcji dla prób path traversal oraz nietypowych zapisów plików przez aplikacje webowe.

Z perspektywy architektury bezpieczeństwa warto także ograniczyć zaufanie do narzędzi AI działających w sieci wewnętrznej. Platformy tego typu powinny być segmentowane, objęte kontrolą tożsamości i traktowane jak systemy wysokiego ryzyka, szczególnie jeśli mają dostęp do danych, modeli lub zasobów produkcyjnych.

Podsumowanie

CVE-2026-5027 pokazuje, że narzędzia do budowy aplikacji AI stają się atrakcyjnym celem ataków. W tym przypadku połączenie podatności path traversal z domyślnym nieuwierzytelnionym dostępem znacząco obniża próg wejścia dla napastnika i umożliwia przejęcie podatnych instancji. Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowego ograniczenia ekspozycji, monitorowania śladów kompromitacji oraz wdrożenia środków kompensacyjnych do czasu pełnego usunięcia problemu.

Źródła

  1. Unpatched Langflow Flaw CVE-2026-5027 Exploited for Unauthenticated RCE — https://thehackernews.com/2026/06/unpatched-langflow-flaw-cve-2026-5027.html
  2. CVE-2026-5027 — National Vulnerability Database — https://nvd.nist.gov/vuln/detail/CVE-2026-5027
  3. Tenable advisory on Langflow vulnerability — https://www.tenable.com/
  4. VulnCheck research update — https://www.vulncheck.com/