CVE-2026-33017
Langflow has Unauthenticated Remote Code Execution via Public Flow Build Endpoint
Em resumo
O Langflow permite que qualquer pessoa execute código arbitrário no servidor através de um endpoint público, enviando definições de fluxo maliciosas sem precisar fazer login. Um atacante consegue executar qualquer comando na máquina que roda o Langflow.
Detalhe técnico
O endpoint POST /api/v1/build_public_tmp/{flow_id}/flow no Langflow anterior à versão 1.9.0 aceita um parâmetro data opcional contendo definições de fluxo controladas pelo atacante, com código Python arbitrário em definições de nós, que são executadas via exec() sem isolamento. Como não requer autenticação neste endpoint público, permite execução remota de código não autenticada. A vulnerabilidade foi corrigida na versão 1.9.0 removendo a aceitação de dados de fluxo fornecidos pelo atacante neste endpoint.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Langflow is a tool for building and deploying AI-powered agents and workflows. In versions prior to 1.9.0, the POST /api/v1/build_public_tmp/{flow_id}/flow endpoint allows building public flows without requiring authentication. When the optional data parameter is supplied, the endpoint uses attacker-controlled flow data (containing arbitrary Python code in node definitions) instead of the stored flow data from the database. This code is passed to exec() with zero sandboxing, resulting in unauthenticated remote code execution. This is distinct from CVE-2025-3248, which fixed /api/v1/validate/code by adding authentication. The build_public_tmp endpoint is designed to be unauthenticated (for public flows) but incorrectly accepts attacker-supplied flow data containing arbitrary executable code. This issue has been fixed in version 1.9.0.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.