Предприятиям, использующим платформу оркестрации ИИ с открытым исходным кодом Langflow, настоятельно рекомендуется установить исправление для критической уязвимости обхода пути (path traversal) на фоне активной эксплуатации, несмотря на то что исправление доступно уже более двух месяцев.
Ошибка, вызванная некорректной обработкой имен файлов в функции загрузки файлов Langflow, может позволить злоумышленникам записывать файлы в произвольные места в затронутой системе, а при определенных условиях — добиться удаленного выполнения кода (RCE) на уязвимых серверах.
Дополнительная сложность заключается в том, что Langflow поставляется с функцией автоматического входа в систему, позволяющей неаутентифицированным пользователям с действительной сессией получить доступ к уязвимой конечной точке без учетных данных.
«Langflow — это популярный инструмент с открытым исходным кодом для создания приложений на базе ИИ», — заявил Джим Шерлок, вице-президент по исследованиям и разработкам в области кибербезопасности в ProCircular. «Поскольку по умолчанию вход в систему отключен, для эксплуатации достаточно одного запроса без учетных данных, что приводит к полному захвату машины».
Некоммерческая организация по облачной безопасности Cloud Security Alliance (CSA) сообщила, что около 7000 экземпляров Langflow доступны из интернета.
Уязвимость обхода пути, позволяющая полный захват системы
Langflow — это популярная low-code платформа для создания агентов ИИ, конвейеров RAG и рабочих процессов на основе MCP с помощью интерфейса drag-and-drop. Эта популярность усиливает опасения по поводу CVE-2026-5027 — уязвимости обхода пути, которой присвоен рейтинг CVSS 8.8.
Согласно записи CVE, уязвимость затрагивает конечную точку POST /api/v2/files. Конечная точка не выполняет надлежащую проверку параметра «filename», передаваемого через «multipart form data», что позволяет злоумышленникам включать последовательности обхода пути, такие как «../», и записывать файлы за пределами предполагаемого каталога загрузки, в место, контролируемое злоумышленником.
Используя эксплойт POC на GitHub exploit, лаборатория EQST продемонстрировала, как можно использовать эту уязвимость для размещения файлов, контролируемых злоумышленником, в произвольных местах файловой системы. Исследователи заявили, что в средах, где включен автологин, произвольная запись файлов может быть эскалирована до удаленного выполнения кода.
«Уязвимости произвольной записи файлов часто более серьезны, чем стандартные проблемы с неограниченной загрузкой, поскольку злоумышленник контролирует не только содержимое файла, но и целевой путь», — заявили исследователи EQST в примечании к POC. «В зависимости от привилегий процесса Langflow во время выполнения это может позволить перезаписать файлы приложения, изменить файлы запуска или запланированных задач, обеспечить постоянство через инициализацию оболочки или ключевые файлы, а также эскалировать произвольную запись файлов до удаленного выполнения кода».
Уязвимость затрагивает версии Langflow до 1.8.4, в то время как исследователи указали, что проблема была устранена в версии 1.9.0, выпущенной 15 апреля, через 73 дня после первого раскрытия информации об уязвимости поставщику. Логика исправления была применена ко всем последующим выпускам, включая текущую версию 1.10.0.
Langflow не сразу ответила на запрос CSO о комментариях.
Платформы оркестрации ИИ продолжают привлекать злоумышленников
Раскрытие информации произошло на фоне растущего интереса злоумышленников к инфраструктуре ИИ. VulnCheck подтвердила, что CVE-2026-5027 уже эксплуатируется, при этом наблюдаемая активность включает попытки внедрения файлов в уязвимые системы. Публичный код эксплойта еще больше снизил порог входа для оппортунистических злоумышленников.
Эксплуатация CVE-2026-5027 была связана с иранской спонсируемой государством группировкой, известной как MuddyWater.
Шерлок отметил, что многие организации неосознанно расширили свою поверхность атаки за счет быстрого развертывания инструментов ИИ. «В течение 2025 года команды по всему миру разворачивали Langflow, Flowise, n8n, Dify и аналогичные low-code инструменты для прототипирования агентов и рабочих процессов LLM», — добавил он. «Эти развертывания редко получали ту степень защиты, которую получила бы производственная веб-платформа. Они работают с настройками аутентификации по умолчанию и размещаются на публичных IP-адресах, потому что кому-то нужно было продемонстрировать поток заинтересованному лицу, и никто не несет ответственности за их исправление».
Ранее в этом году злоумышленники использовали другую критическую RCE в Langflow вскоре после ее раскрытия. Недавно исследователи обнаружили серьезную ошибку, затрагивающую реализацию протокола Model Context Protocol (MCP) в Flowise, которая позволяла RCE через специально сформированные конфигурации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
