Giriş
Langflow platformunda bulunan kritik bir güvenlik açığı, kamuya açıklanmasının ardından yalnızca 20 saat içinde aktif olarak kullanılmaya başlandı. Bu durum, tehdit aktörlerinin yeni yayımlanan zafiyetleri ne kadar hızlı bir şekilde kullandıklarını gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı, CVE-2026-33017 (CVSS puanı: 9.3) olarak takip edilmektedir ve eksik kimlik doğrulama ile kod enjeksiyonunu içermektedir. Bu açık, uzaktan kod yürütmeye yol açabilir. Langflow’un açığı için verdiği bilgilere göre, “POST /api/v1/build_public_tmp/{flow_id}/flow” uç noktası, kimlik doğrulama gerektirmeden kamuya açık akışların inşa edilmesine izin vermektedir. Eğer isteğe bağlı veri parametresi sağlanırsa, saldırganın kontrolündeki akış verileri kullanılmakta ve bu veriler sunucuda exec() fonksiyonu ile yürütülmektedir.
Etkilenen Sistemler
Vulnerability, 1.8.1 versiyonuna kadar tüm Langflow sürümlerini etkilemektedir. Açığın giderildiği sürüm ise 1.9.0.dev8 olarak belirtilmiştir.
Çözüm ve Korunma
Güvenlik araştırmacısı Aviral Srivastava, bu açığın CVE-2025-3248 ile aynı exec() çağrısını kullandığını belirtiyor. Açığın başarılı bir şekilde istismar edilmesi durumunda, bir saldırgan tek bir HTTP isteği ile sunucu sürecinin tüm yetkilerine sahip olabilir ve bu, gizli verilerin silinmesine veya scripts’lerin arka kapılar eklenmesine neden olabilir.
Geçen yıl, CVE-2025-3248 ve CVE-2026-33017 hedef alan istismar faaliyetlerinin artarak devam ettiği gözlemlendi. Aşağıdaki önlemler, koruma sağlamak için alınmalıdır:
- Langflow’un en son yamalanmış sürümüne güncelleyin.
- Açıkta bulunan Langflow örneklerinde ortam değişkenlerini ve gizli anahtarları denetleyin.
- Güvenlik tedbiri olarak anahtarları ve veritabanı parolalarını yenileyin.
- Sıradışı geri çağırma hizmetlerine yönelik dış bağlantıları izleyin.
- Yangflow örneklerine erişimi kısıtlamak için güvenlik duvarı kuralları ya da kimlik doğrulamalı bir ters proxy kullanın.
Sonuç
Bu tür kritik açıklar, tehdit aktörlerine, hassas verilere erişim sağlayabilir ve yazılım tedarik zincirini tehdit edebilir. Kullanıcıların, olası istismarları önlemek için acilen güncellemeleri yapmaları, ortamlarını denetlemeleri ve sundukları hizmetlerin güvenliğini artırmaları gerekmektedir.
