CVE-2025-3248
Langflow < 1.3.0 Unauthenticated RCE via /api/v1/validate/code
Em resumo
Versões do Langflow anteriores à 1.3.0 permitem que qualquer pessoa na internet execute código malicioso no servidor sem fazer login, enviando requisições especialmente preparadas para um endpoint de validação de código. Isso é crítico porque atacantes conseguem controle total do sistema afetado.
Detalhe técnico
Um atacante remoto não autenticado pode explorar injeção de código no endpoint /api/v1/validate/code para obter execução arbitrária de código no servidor. A vulnerabilidade existe devido à validação insuficiente de entrada na lógica de validação de código, necessitando apenas acesso de rede ao endpoint vulnerável; a exploração bem-sucedida garante compromisso total do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Langflow versions prior to 1.3.0 are susceptible to code injection in
the /api/v1/validate/code endpoint. A remote and unauthenticated attacker can send crafted HTTP requests to execute arbitrary
code.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
langflow-ai · langflowPoCs públicas encontradas — 26
githubgithub.com/ynsmroztas/CVE-2025-3248-Langflow-RCE★ 18githubgithub.com/verylazytech/CVE-2025-3248★ 10githubgithub.com/xuemian168/CVE-2025-3248★ 9githubgithub.com/0-d3y/langflow-rce-exploit★ 7githubgithub.com/drackyjr/cve-2025-3248-exploit★ 3githubgithub.com/dennisec/Mass-CVE-2025-3248★ 3githubgithub.com/PuddinCat/CVE-2025-3248-POC★ 2githubgithub.com/vigilante-1337/CVE-2025-3248★ 2githubgithub.com/zapstiko/CVE-2025-3248★ 1githubgithub.com/EQSTLab/CVE-2025-3248★ 1githubgithub.com/r0otk3r/CVE-2025-3248★ 1githubgithub.com/b0ySie7e/CVE-2025-3248-POC★ 1githubgithub.com/Vip3rLi0n/CVE-2025-3248★ 1githubgithub.com/tiemio/RCE-CVE-2025-3248★ 1githubgithub.com/Praison001/CVE-2025-3248★ 1githubgithub.com/imbas007/CVE-2025-3248★ 1githubgithub.com/12-test-12/CVE-2025-3248★ 0githubgithub.com/0xgh057r3c0n/CVE-2025-3248★ 0githubgithub.com/dennisec/CVE-2025-3248★ 0githubgithub.com/ill-deed/Langflow-CVE-2025-3248-Multi-target★ 0githubgithub.com/min8282/CVE-2025-3248★ 0githubgithub.com/wand3rlust/CVE-2025-3248★ 0githubgithub.com/nebari-playground/langflow-cve-2025-3248★ 0exploitdbwww.exploit-db.com/exploits/52364não verificadoexploitdbwww.exploit-db.com/exploits/52262não verificadocve_referencewww.horizon3.ai/attack-research/disclosures/unsafe-at-any-speed-abusing-python-exec-for-unauth-rce-in-langflow-ai/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/langflow-ai/langflow/pull/6911https://github.com/langflow-ai/langflow/releases/tag/1.3.0https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-3248https://www.horizon3.ai/attack-research/disclosures/unsafe-at-any-speed-abusing-python-exec-for-unauth-rce-in-langflow-ai/https://www.vulncheck.com/advisories/langflow-unauthenticated-rce