Se ha revelado recientemente una falla de seguridad crítica que afecta la plataforma Langflow de código abierto ha sido agregado a las vulnerabilidades explotadas conocidas (Kev) Catálogo por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), citando evidencia de explotación activa.
La vulnerabilidad, rastreada como CVE-2025-3248lleva una puntuación CVSS de 9.8 de un máximo de 10.0.
“Langflow contiene una vulnerabilidad de autenticación faltante en el punto final/API/V1/Validate/Code que permite que un atacante remoto y no autenticado ejecute código arbitrario a través de solicitudes HTTP diseñadas”, dijo CISA.
Específicamente, se ha encontrado que el punto final invoca incorrectamente la función EXEC () incorporada de Python en el código proporcionado por el usuario sin autenticación o sandboxing adecuado, lo que permite a los atacantes ejecutar comandos arbitrarios en el servidor.
La deficiencia, que afecta la mayoría de las versiones de la herramienta popular, se ha abordado en Versión 1.3.0 publicado el 31 de marzo de 2025. Horizon3.ai ha sido acreditado por descubrir e informar el defecto en febrero.
Según la compañía, la vulnerabilidad es “fácilmente explotable“y permite que los atacantes remotos no autenticados tomen el control de los servidores Langflow. Desde entonces se ha realizado una exploit de prueba de concepto (POC) disponible públicamente A partir del 9 de abril de 2025, por otros investigadores.
Datos de la plataforma de gestión de la superficie de ataque censes espectáculos que hay 466 instancias de flujo de flujo expuestas a Internet, con la mayoría de ellos concentrados en los Estados Unidos, Alemania, Singapur, India y China.
Actualmente no se sabe cómo se abusa de la vulnerabilidad en los ataques del mundo real, por quién y para qué propósito, aunque el Instituto Sans Technology dicho Registró intentos de exploit atacando el defecto contra sus honeypots. Las agencias de la rama ejecutiva civil federal (FCEB) tienen tiempo hasta el 26 de mayo de 2025, para aplicar las soluciones.
“CVE-2025-3248 destaca los riesgos de ejecutar código dinámico sin autenticación segura y medidas de sandboxing”, ZSCALER anotado mes pasado. “Esta vulnerabilidad sirve como un recordatorio crítico para que las organizaciones aborden las características de validación de código con precaución, particularmente en aplicaciones expuestas a Internet”.
About the Author
