Vulnerabilidade de path traversal na plataforma de IA Langflow é explorada em ataques

A vulnerabilidade de path traversal no Langflow mais ativamente explorada em 2026 é a CVE-2026-5027, divulgada em 27 de março de 2026 pela Tenable. Ela afeta o endpoint POST /api/v2/files devido à falha na sanitização do parâmetro 'filename' em requisições multipart, permitindo que atacantes insiram sequências como ../ para gravar arquivos arbitrários em qualquer diretório do servidor — inclusive fora do diretório raiz da aplicação. O risco é amplificado pelo comportamento padrão do Langflow de permitir auto-login sem autenticação, o que permite obter um token de sessão válido com uma única requisição não autenticada. Scans da Censys identificaram cerca de 7.000 instâncias publicamente expostas na internet, principalmente na América do Norte, e pesquisadores da VulnCheck confirmaram tentativas reais de exploração em larga escala, incluindo uploads de arquivos de teste como 'poc.txt' para mapeamento de infraestrutura.

Além da CVE-2026-5027, outras falhas críticas estão sendo exploradas simultaneamente: a CVE-2026-42048 (path traversal em exclusão de bases de conhecimento), a CVE-2026-7524 (CVSS 9.8, execução remota via symlinks em arquivos tar) e a CVE-2026-33017 (injeção de código via exec() não sandboxado, CVSS 9.8). A CISA já alertou sobre a exploração contínua da CVE-2025-3248, ligada ao grupo iraniano MuddyWater. A versão mais segura atualmente é a Langflow 1.10.0, lançada em 10 de junho de 2026, que consolida correções para todas essas vulnerabilidades, incluindo as correções anteriores nas versões 1.9.0, 1.9.2 e 0.8.3 do pacote langflow-base.

O Langflow é uma das plataformas de IA de código aberto mais populares do mundo, com mais de 149.000 estrelas no GitHub e ampla adoção por desenvolvedores que constroem agentes de IA, aplicações RAG e fluxos de LLM. Sua crescente exposição — somada à ausência de autenticação por padrão e à natureza crítica das falhas (muitas com CVSS ≥ 9.0) — transforma cada instância vulnerável em um alvo de alto valor para ataques automatizados, exfiltração de dados sensíveis (como chaves JWT) e até execução remota de código (RCE). Diferentemente de frameworks genéricos, o Langflow é frequentemente implantado diretamente em ambientes produtivos sem camadas intermediárias de segurança, aumentando o impacto real dessas vulnerabilidades. A exploração ativa não é teórica: relatórios de VulnCheck, IBM X-Force e CISA confirmam atividade maliciosa em tempo real contra CVEs específicas como CVE-2026-5027, CVE-2026-7524 e CVE-2025-3248, tornando a atualização imediata para a versão 1.10.0 uma prioridade operacional, não apenas técnica.

Para desenvolvedores que usam Langflow em produção ou testes, a falha CVE-2026-5027 representa um risco direto de comprometimento do sistema de arquivos do servidor, com potencial para injeção de webshells, substituição de binários ou roubo de credenciais armazenadas localmente. A vulnerabilidade CVE-2026-7524 é especialmente perigosa em cenários RAG, pois permite que um invasor envie um arquivo tar com symlinks para /app/.env ou /app/langflow/jwt_secret.key, extraindo esses dados sensíveis via consulta ao chatbot. Já a CVE-2026-33017 permite execução remota de código Python não autenticado — o que significa que qualquer pessoa com acesso à interface pode rodar comandos arbitrários via nó 'Python Interpreter'. A correção exige atualização para Langflow 1.10.0, mas também impõe boas práticas: desabilitar o auto-login, colocar o Langflow atrás de um proxy com autenticação forte, restringir permissões de escrita no sistema de arquivos e evitar exposição direta à internet. Ignorar essas medidas mesmo após atualizar pode manter o ambiente vulnerável a ataques encadeados.