Auf den Punkt: Langflow-Instanzen werden aktiv angegriffen über CVE-2026-5027 (Patch seit April verfügbar), die beliebige Dateischreibweise und Remote Code Execution ermöglicht – besonders kritisch bei Default-Authentifizierung und Internet-Erreichbarkeit.
Eine Sicherheitslücke (CVE-2026-5027, CVSS 8,8) in der Open-Source-Plattform Langflow wird aktiv angegriffen, obwohl ein Patch seit über zwei Monaten vorliegt. Die Lücke erlaubt Angreifern, Dateien an beliebige Systemorte zu schreiben und unter bestimmten Bedingungen vollständige Code-Ausführung zu erlangen.
Die Schwachstelle betrifft den POST-Endpunkt /api/v2/files in Langflow und liegt in der fehlerhaften Validierung des Parameters „filename“ bei Datei-Uploads. Angreifer können Path-Traversal-Sequenzen wie „../“ verwenden, um Dateien außerhalb des vorgesehenen Upload-Verzeichnisses zu platzieren. Das Problem wird verschärft durch das Standard-Verhalten von Langflow, Auto-Login zu aktivieren – damit benötigen Angreifer keine Anmeldedaten, um die verwundbare Schnittstelle zu erreichen.
Betroffen sind Langflow-Versionen bis 1.8.4. Die Lücke wurde erstmals dem Hersteller mitgeteilt, erhielt dann aber erst am 15. April 2025 einen Fix durch die Freigabe von Version 1.9.0 – 73 Tage später. Aktuelle Versionen wie 1.10.0 enthalten den Patch. Nach Angaben der Cloud Security Alliance sind etwa 7.000 Langflow-Instanzen direkt im Internet erreichbar. Sicherheitsforscher der EQST Lab haben gezeigt, dass die beliebige Dateischreibfähigkeit zu Remote Code Execution eskalieren kann, insbesondere wenn Auto-Login aktiviert ist.
Die aktive Ausnutzung von CVE-2026-5027 wurde bereits bestätigt; VulnCheck dokumentierte Angriffe mit Datei-Drop-Versuchen. Öffentlich verfügbare Exploit-Code senkt die Einstiegshürde für opportunistische Angreifer. Die Lücke wird zudem der iranischen staatlich geförderten Gruppe MuddyWater zugeordnet.
Das Risiko wird dadurch erhöht, dass viele Unternehmen AI-Orchestrierungstools wie Langflow schnell und ohne produktionsreife Härtung eingesetzt haben. Häufig bleiben Standard-Authentifizierungseinstellungen aktiv und Instanzen laufen auf öffentlichen IP-Adressen, da Stakeholder Demo-Funktionen brauchten – ohne dass eine Verantwortung für Patches geklärt wurde. Dies gilt für das gesamte Ökosystem ähnlicher Low-Code-Plattformen wie Flowise, n8n und Dify.
Quelle: www.csoonline.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.