{"id":1704816,"date":"2025-05-06T23:23:13","date_gmt":"2025-05-06T23:23:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/flaw-de-langflow-critico-agregado-a-la-lista-de-kev-cisa-en-medio-de-evidencia-de-explotacion-continua\/"},"modified":"2025-05-06T23:23:18","modified_gmt":"2025-05-06T23:23:18","slug":"flaw-de-langflow-critico-agregado-a-la-lista-de-kev-cisa-en-medio-de-evidencia-de-explotacion-continua","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/flaw-de-langflow-critico-agregado-a-la-lista-de-kev-cisa-en-medio-de-evidencia-de-explotacion-continua\/","title":{"rendered":"Flaw de Langflow cr\u00edtico agregado a la lista de KEV CISA en medio de evidencia de explotaci\u00f3n continua"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>06 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciberseguridad \/ vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha revelado recientemente una falla de seguridad cr\u00edtica que afecta la plataforma Langflow de c\u00f3digo abierto ha sido agregado<\/a> a las vulnerabilidades explotadas conocidas (Kev<\/a>) Cat\u00e1logo por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), citando evidencia de explotaci\u00f3n activa.<\/p>\n

La vulnerabilidad, rastreada como CVE-2025-3248<\/strong>lleva una puntuaci\u00f3n CVSS de 9.8 de un m\u00e1ximo de 10.0.<\/p>\n

“Langflow contiene una vulnerabilidad de autenticaci\u00f3n faltante en el punto final\/API\/V1\/Validate\/Code que permite que un atacante remoto y no autenticado ejecute c\u00f3digo arbitrario a trav\u00e9s de solicitudes HTTP dise\u00f1adas”, dijo CISA.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Espec\u00edficamente, se ha encontrado que el punto final invoca incorrectamente la funci\u00f3n EXEC () incorporada de Python en el c\u00f3digo proporcionado por el usuario sin autenticaci\u00f3n o sandboxing adecuado, lo que permite a los atacantes ejecutar comandos arbitrarios en el servidor.<\/p>\n

La deficiencia, que afecta la mayor\u00eda de las versiones de la herramienta popular, se ha abordado en Versi\u00f3n 1.3.0<\/a> publicado el 31 de marzo de 2025. Horizon3.ai ha sido acreditado por descubrir e informar el defecto en febrero.<\/p>\n

\"Falla<\/a><\/div>\n

Seg\u00fan la compa\u00f1\u00eda, la vulnerabilidad es “f\u00e1cilmente explotable<\/a>“y permite que los atacantes remotos no autenticados tomen el control de los servidores Langflow. Desde entonces se ha realizado una exploit de prueba de concepto (POC) disponible p\u00fablicamente<\/a> A partir del 9 de abril de 2025, por otros investigadores.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Datos de la plataforma de gesti\u00f3n de la superficie de ataque censes espect\u00e1culos<\/a> que hay 466 instancias de flujo de flujo expuestas a Internet, con la mayor\u00eda de ellos concentrados en los Estados Unidos, Alemania, Singapur, India y China.<\/p>\n

Actualmente no se sabe c\u00f3mo se abusa de la vulnerabilidad en los ataques del mundo real, por qui\u00e9n y para qu\u00e9 prop\u00f3sito, aunque el Instituto Sans Technology dicho<\/a> Registr\u00f3 intentos de exploit atacando el defecto contra sus honeypots. Las agencias de la rama ejecutiva civil federal (FCEB) tienen tiempo hasta el 26 de mayo de 2025, para aplicar las soluciones.<\/p>\n

“CVE-2025-3248 destaca los riesgos de ejecutar c\u00f3digo din\u00e1mico sin autenticaci\u00f3n segura y medidas de sandboxing”, ZSCALER anotado<\/a> mes pasado. “Esta vulnerabilidad sirve como un recordatorio cr\u00edtico para que las organizaciones aborden las caracter\u00edsticas de validaci\u00f3n de c\u00f3digo con precauci\u00f3n, particularmente en aplicaciones expuestas a Internet”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n