Una defecto de seguridad crítica que afecta a Langflow ha sido explotada activamente internamente de las 20 horas posteriores a la divulgación pública, lo que destaca la velocidad a la que los actores de amenazas utilizan como pertrechos las vulnerabilidades recientemente publicadas.
El defecto de seguridad, rastreado como CVE-2026-33017 (Puntuación CVSS: 9,3), es un caso de equivocación de autenticación combinada con inyección de código que podría resultar en la ejecución remota de código.
“El punto final POST /api/v1/build_public_tmp/{flow_id}/flow permite crear flujos públicos sin requerir autenticación”, según el aviso de Langflow sobre la defecto.
“Cuando se proporciona el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python subjetivo en definiciones de nodos) en división de los datos de flujo almacenados en la colchoneta de datos. Este código se pasa a exec() sin espacio marginado, lo que resulta en una ejecución remota de código no autenticado”.
La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia industrial (IA) de código campechano anteriores a la 1.8.1 incluida. Actualmente se ha solucionado en la traducción de progreso 1.9.0.dev8.
El investigador de seguridad Aviral Srivastava, quien descubrió e informó la defecto el 26 de febrero de 2026, dijo que es distinta de CVE-2025-3248 (puntaje CVSS: 9.8), otro error crítico en Langflow que abusaba del punto final /api/v1/validate/code para ejecutar código Python subjetivo sin requerir ninguna autenticación. Desde entonces, ha sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
“CVE-2026-33017 está en /api/v1/build_public_tmp/{flow_id}/flow”, explicó Srivastava, añadiendo que la causa raíz surge del uso de la misma señal exec() que CVE-2025-3248 al final de la sujeción.
“Este punto final está diseñado para no estar autenticado porque sirve flujos públicos. No se puede simplemente ampliar un requisito de autenticación sin romper toda la característica de flujos públicos. La verdadera posibilidad es eliminar por completo el parámetro de datos del punto final divulgado, de modo que los flujos públicos solo puedan ejecutar sus datos de flujo almacenados (del costado del servidor) y nunca aceptar definiciones proporcionadas por el atacante”.
Una explotación exitosa podría permitir a un atacante cursar una única solicitud HTTP y obtener la ejecución de código subjetivo con todos los privilegios del proceso del servidor. Con este privilegio implementado, el actor de amenazas puede percibir variables de entorno, entrar o modificar archivos para inyectar puertas traseras o borrar datos confidenciales, e incluso obtener un shell inverso.
Srivastava dijo a The Hacker News que explotar CVE-2026-33017 es “extremadamente hacedero” y puede activarse mediante un comando curl armado. Una solicitud HTTP POST con código Python sagaz en la carga útil JSON es suficiente para ganar la ejecución remota inmediata del código, añadió.
La empresa de seguridad en la aglomeración Sysdig dijo que observó los primeros intentos de explotación dirigidos a CVE-2026-33017 en estado salvaje internamente de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026.
“En ese momento no existía ningún código de prueba de concepto (PoC) divulgado”, dijo Sysdig. “Los atacantes crearon exploits funcionales directamente a partir de la descripción del aviso y comenzaron a escanear Internet en rastreo de instancias vulnerables. La información filtrada incluía claves y credenciales, que proporcionaban llegada a bases de datos conectadas y un posible compromiso de la sujeción de suministro de software”.
Además se ha observado que los actores de amenazas pasan del escaneo automatizado al rendimiento de secuencias de comandos Python personalizadas para extraer datos de “/etc/passwd” y entregar una carga útil de próximo etapa no especificada alojada en “173.212.205(.)251:8443”. La actividad posterior desde la misma dirección IP apunta a una operación exhaustiva de casa recoleta de credenciales que implica compilar variables de entorno, enumerar archivos de configuración y bases de datos y extraer el contenido de los archivos .env.
Esto sugiere una planificación por parte del actor de la amenaza preparando el malware para que se entregue una vez que se identifique un objetivo abandonado. “Este es un atacante con un conjunto de herramientas de explotación preparado que pasa de la subsistencia de vulnerabilidades al despliegue de carga útil en una sola sesión”, señaló Sysdig. Por el momento se desconoce quién está detrás de los ataques.
La ventana de 20 horas entre la publicación del aviso y la primera explotación se alinea con una tendencia acelerada que ha conocido el tiempo medio de explotación (TTE) reducirse de 771 días en 2018 a solo horas en 2024.
Según el Documentación sobre el panorama de amenazas globales de 2026 de Rapid7, el tiempo medio desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA se redujo de 8,5 días a cinco días durante el año pasado.
“Esta compresión del cronograma plantea serios desafíos para los defensores. El tiempo promedio para que las organizaciones implementen parches es de aproximadamente 20 días, lo que significa que los defensores están expuestos y vulnerables durante demasiado tiempo”, agregó. “Los actores de amenazas están monitoreando las mismas fuentes de asesoramiento que usan los defensores y están creando exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Las organizaciones deben reconsiderar completamente sus programas de vulnerabilidad para adaptarse a la efectividad”.
Se recomienda a los usuarios que actualicen a la última traducción parcheada lo antaño posible, auditen las variables de entorno y los secretos en cualquier instancia de Langflow expuesta públicamente, roten claves y contraseñas de bases de datos como medida de precaución, monitoreen las conexiones salientes a servicios de devolución de llamadas inusuales y restrinjan el llegada a la red a las instancias de Langflow mediante reglas de firewall o un proxy inverso con autenticación.
La actividad de exploración dirigida a CVE-2025-3248 y CVE-2026-33017 subraya cómo las cargas de trabajo de IA están aterrizando en el punto de mira de los atacantes adecuado a su llegada a datos valiosos, su integración internamente de la sujeción de suministro de software y sus insuficientes salvaguardias de seguridad.
“CVE-2026-33017 (…) demuestra un patrón que se está convirtiendo en la norma más que en la excepción: las vulnerabilidades críticas en herramientas populares de código campechano se convierten en armas a las pocas horas de su divulgación, a menudo antaño de que el código PoC divulgado esté acondicionado”, concluyó Sysdig.
