Een kritieke beveiligingsfout die invloed heeft op Langflow is binnen twintig uur na de openbaarmaking actief uitgebuit, wat de snelheid benadrukt waarmee bedreigingsactoren nieuw gepubliceerde kwetsbaarheden bewapenen.
Het beveiligingsfout, bijgehouden als CVE-2026-33017 (CVSS-score: 9,3), is een geval van ontbrekende authenticatie in combinatie met code-injectie, wat kan leiden tot uitvoering van code op afstand.
“Het POST /api/v1/build_public_tmp/{flow_id}/flow eindpunt maakt het mogelijk om publieke stromen te bouwen zonder authenticatie te vereisen”, aldus Langflow’s advies over de fout.
“Wanneer de optionele dataparameter wordt opgegeven, gebruikt het eindpunt door de aanvaller bestuurde stroomgegevens (die willekeurige Python-code in knooppuntdefinities bevatten) in plaats van de opgeslagen stroomgegevens uit de database. Deze code wordt doorgegeven aan exec() zonder sandboxing, wat resulteert in niet-geverifieerde uitvoering van externe code.”
De kwetsbaarheid treft alle versies van het open-source platform voor kunstmatige intelligentie (AI) vóór en inclusief 1.8.1. Het is momenteel aangepakt in de ontwikkelingsversie 1.9.0.dev8.
Beveiligingsonderzoeker Aviral Srivastava, die de fout op 26 februari 2026 ontdekte en rapporteerde, zei dat deze verschilt van CVE-2025-3248 (CVSS-score: 9,8), een andere kritieke bug in Langflow die misbruik maakte van het /api/v1/validate/code-eindpunt om willekeurige Python-code uit te voeren zonder enige authenticatie te vereisen. Sindsdien wordt het actief uitgebuit, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).
“CVE-2026-33017 bevindt zich in /api/v1/build_public_tmp/{flow_id}/flow”, legt Srivastava uit, eraan toevoegend dat de hoofdoorzaak voortkomt uit het gebruik van dezelfde exec()-aanroep als CVE-2025-3248 aan het einde van de keten.
“Dit eindpunt is ontworpen om niet-geauthenticeerd te zijn omdat het openbare stromen bedient. Je kunt niet zomaar een auth-vereiste toevoegen zonder de hele functie voor openbare stromen te verbreken. De echte oplossing is het volledig verwijderen van de gegevensparameter van het openbare eindpunt, zodat openbare stromen alleen hun opgeslagen (server-side) stroomgegevens kunnen uitvoeren en nooit door de aanvaller aangeleverde definities kunnen accepteren.”
Succesvolle exploitatie zou een aanvaller in staat kunnen stellen een enkel HTTP-verzoek te verzenden en willekeurige code-uitvoering te verkrijgen met de volledige rechten van het serverproces. Met dit recht kan de bedreigingsacteur omgevingsvariabelen lezen, bestanden openen of wijzigen om backdoors te injecteren of gevoelige gegevens te wissen, en zelfs een omgekeerde shell verkrijgen.
Srivastava vertelde The Hacker News dat het exploiteren van CVE-2026-33017 “extreem eenvoudig” is en kan worden geactiveerd door middel van een bewapend curl-commando. Eén HTTP POST-verzoek met kwaadaardige Python-code in de JSON-payload is voldoende om onmiddellijke uitvoering van code op afstand te bewerkstelligen, voegde hij eraan toe.
Cloudbeveiligingsbedrijf Sysdig zei dat het de eerste exploitatiepogingen tegen CVE-2026-33017 in het wild had waargenomen binnen 20 uur na de publicatie van het advies op 17 maart 2026.
“Er bestond destijds geen openbare proof-of-concept (PoC) -code”, zei Sysdig. “Aanvallers bouwden werkende exploits rechtstreeks op basis van de adviesbeschrijving en begonnen het internet te scannen op kwetsbare instanties. Geëxfiltreerde informatie omvatte sleutels en inloggegevens, die toegang boden tot verbonden databases en mogelijke compromissen in de softwaretoeleveringsketen.”
Er is ook waargenomen dat bedreigingsactoren overgingen van geautomatiseerd scannen naar het gebruik van aangepaste Python-scripts om gegevens uit “/etc/passwd” te extraheren en een niet-gespecificeerde volgende fase-payload te leveren die wordt gehost op “173.212.205(.)251:8443.” Daaropvolgende activiteiten vanaf hetzelfde IP-adres wijzen op een grondige operatie voor het verzamelen van inloggegevens, waarbij omgevingsvariabelen worden verzameld, configuratiebestanden en databases worden opgesomd en de inhoud van .env-bestanden wordt geëxtraheerd.
Dit suggereert dat een deel van de bedreigingsactoren planning maakt door de malware te organiseren die moet worden afgeleverd zodra een kwetsbaar doelwit is geïdentificeerd. “Dit is een aanvaller met een voorbereide exploitatietoolkit die in één sessie van kwetsbaarheidsvalidatie naar payload-implementatie gaat”, aldus Sysdig. Het is momenteel niet bekend wie er achter de aanslagen zit.
Het tijdsbestek van 20 uur tussen de publicatie van het advies en de eerste exploitatie komt overeen met een versnellende trend waarbij de gemiddelde time-to-exploit (TTE) is afgenomen van 771 dagen in 2018 naar slechts enkele uren in 2024.
Volgens het Global Threat Landscape Report 2026 van Rapid7 is de gemiddelde tijd vanaf de publicatie van een kwetsbaarheid tot de opname ervan in de Known Exploited Vulnerabilities (KEV)-catalogus van CISA het afgelopen jaar gedaald van 8,5 dagen naar vijf dagen.
“Deze compressie van de tijdlijn brengt serieuze uitdagingen met zich mee voor verdedigers. De gemiddelde tijd voor organisaties om patches uit te rollen is ongeveer 20 dagen, wat betekent dat verdedigers veel te lang blootgesteld en kwetsbaar zijn”, voegde het eraan toe. “Dreigingsactoren houden dezelfde adviesfeeds in de gaten die verdedigers gebruiken, en ze bouwen exploits sneller dan de meeste organisaties kunnen beoordelen, testen en implementeren van patches. Organisaties moeten hun kwetsbaarheidsprogramma’s volledig heroverwegen om aan de realiteit te voldoen.”
Gebruikers wordt geadviseerd om zo snel mogelijk te updaten naar de nieuwste gepatchte versie, omgevingsvariabelen en geheimen op elke openbaar toegankelijke Langflow-instantie te controleren, sleutels en databasewachtwoorden uit voorzorg te roteren, te controleren op uitgaande verbindingen met ongebruikelijke callback-services en de netwerktoegang tot Langflow-instanties te beperken met behulp van firewallregels of een omgekeerde proxy met authenticatie.
De verkenningsactiviteit gericht op CVE-2025-3248 en CVE-2026-33017 onderstreept hoe AI-workloads in het vizier van aanvallers terechtkomen vanwege hun toegang tot waardevolle gegevens, integratie binnen de software-toeleveringsketen en onvoldoende beveiligingswaarborgen.
“CVE-2026-33017 (…) demonstreert een patroon dat eerder de norm dan de uitzondering aan het worden is: kritieke kwetsbaarheden in populaire open source-tools worden binnen enkele uren na openbaarmaking bewapend, vaak voordat openbare PoC-code zelfs maar beschikbaar is”, concludeerde Sysdig.
