Агентство по кибербезопасности и защите инфраструктуры (CISA) предупреждает, что хакеры активно используют критическую уязвимость, идентифицированную как CVE-2026-33017, которая затрагивает фреймворк Langflow для создания ИИ-агентов.
Проблема безопасности получила критическую оценку 9,3 из 10 и может быть использована для удаленного выполнения кода, что позволяет злоумышленникам создавать публичные потоки без аутентификации.
Агентство включило эту проблему в список известных эксплуатируемых уязвимостей, охарактеризовав ее как уязвимость внедрения кода.
Исследователи из компании по безопасности приложений Endor Labs заявляют, что хакеры начали использовать CVE-2026-33017 19 марта, примерно через 20 часов после того, как консультация по уязвимости стала общедоступной.
На тот момент не существовало публичного эксплойта с кодом (PoC), и Endor Labs полагает, что злоумышленники создали эксплойты непосредственно на основе информации, содержащейся в консультации.
Сканирование с помощью автоматизированных средств началось через 20 часов, за ним последовала эксплуатация с использованием скриптов Python через 21 час, а сбор данных (файлы .env и .db) — через 24 часа.
Langflow — это популярный фреймворк с открытым исходным кодом для визуального построения рабочих процессов ИИ, имеющий 145 000 звезд на GitHub. Он предоставляет интерфейс drag-and-drop для соединения узлов в исполняемые конвейеры, а также REST API для их программного запуска.
Инструмент широко распространен в экосистеме разработки ИИ, что делает его привлекательной мишенью для хакеров.
В мае 2025 года CISA выпустила еще одно предупреждение об активной эксплуатации в Langflow, касающееся CVE-2025-3248 — критического недостатка конечной точки API, позволяющего RCE без аутентификации и потенциально ведущего к полному контролю над сервером.
Последний недостаток, CVE-2026-33017, позволяет злоумышленникам выполнять произвольный код Python и затрагивает версии Langflow 1.8.1 и более ранние. Он может быть использован с помощью одного специально сформированного HTTP-запроса благодаря выполнению потоков без изоляции (unsandboxed flow execution).
CISA не отметила эту уязвимость как эксплуатируемую субъектами программ-вымогателей, но установила для федеральных агентств срок до 8 апреля для применения обновлений безопасности или мер по смягчению последствий, либо прекращения использования продукта.
Системным администраторам рекомендуется обновиться до версии Langflow 1.9.0 или новее, которая устраняет проблему безопасности, либо отключить/ограничить уязвимую конечную точку.
Endor Labs также посоветовала не предоставлять Langflow прямой доступ в интернет, отслеживать исходящий трафик и менять ключи API, учетные данные баз данных и секреты облачных сервисов при обнаружении подозрительной активности.
Срок, установленный CISA, формально распространяется на организации, подпадающие под действие Обязательного оперативного директивы (BOD) 22-01, однако компаниям частного сектора, органам власти штатов и местного самоуправления, а также другим структурам, не входящим в FCEB, также рекомендуется рассматривать его как ориентир и принимать соответствующие меры.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
