Angreifer nutzen Path-Traversal-Lücke in Langflow aktiv aus

Zusammenfassung

In der Open-Source-Plattform Langflow für die Entwicklung von KI-Anwendungen wird eine schwerwiegende Path-Traversal-Schwachstelle bereits aktiv ausgenutzt. Betroffen ist CVE-2026-5027, eine Lücke in der Dateiupload-Funktion, über die Angreifer auf exponierten Systemen beliebige Dateien an beliebige Orte im Dateisystem schreiben können. Entdeckt wurde die Schwachstelle von Tenable zu Beginn des Jahres. Nach Angaben des Unternehmens bereinigt der Endpunkt „POST /api/v2/files“ den aus den Multipart-Formulardaten übergebenen Dateinamen nicht ausreichend, sodass sich Pfadsequenzen wie „../“ missbrauchen lassen. Laut der Sicherheitsforscherin Caitlin Condon von VulnCheck registrierten Honeypots inzwischen Angriffe, bei denen Testdateien auf verwundbaren Instanzen abgelegt wurden. Brisant ist dabei, dass Langflow laut Condon standardmäßig eine automatische Anmeldung ohne Authentifizierung erlaubt. Dadurch seien keine Zugangsdaten nötig, um den verwundbaren Endpunkt zu erreichen; eine einzelne nicht authentifizierte Anfrage genüge, um ein gültiges Sitzungs-Token für die weitere Ausnutzung zu erhalten.

Langflow ist eine Open-Source-Plattform mit visueller Oberfläche, über die sich KI-Anwendungen, KI-Agenten, Retrieval-Augmented-Generation-Systeme und MCP-basierte Workflows per Drag-and-drop statt mit klassischem Code erstellen lassen. Das Projekt wird laut Quelltext von vielen KI-Entwicklungsteams genutzt und kommt auf mehr als 149.000 Sterne sowie 9.200 Forks auf GitHub.

Im Kern geht es um CVE-2026-5027, eine Schwachstelle hoher Schwere in der Upload-Funktion von Langflow. Tenable, das die Lücke entdeckt hat, erklärt, dass der Endpunkt „POST /api/v2/files“ den Parameter „filename“ aus Multipart-Formulardaten nicht bereinigt. Dadurch können Angreifer mithilfe von Path-Traversal-Sequenzen wie „../“ Dateien an beliebige Stellen des Dateisystems schreiben.

Tenable veröffentlichte die Schwachstelle öffentlich am 27. März 2026. Nach Angaben des Unternehmens geschah das mehr als zwei Monate nach der ersten Meldung an das Langflow-Team, ohne dass eine Antwort eingegangen sei. In seinem Hinweis nannte Tenable noch keine Fehlerbehebung.

Snyk Security berichtete dann am 30. März 2026, dass das Problem im Paket langflow-base mit Version 0.8.3 behoben wurde. Die eigentliche Langflow-Anwendung erhielt demnach einen Patch in Version 1.9.0. Nutzern empfiehlt der Quelltext inzwischen ein Upgrade auf die neueste Veröffentlichung 1.10.0, die erst heute erschienen ist.

Wie weit die Ausnutzung bereits reicht, beschreibt VulnCheck-Forscherin Caitlin Condon. Ihren Angaben zufolge haben Honeypots Angreifer dabei beobachtet, die Schwachstelle nutzen, um Testdateien auf verwundbaren Instanzen abzulegen. Condon schrieb zudem auf LinkedIn, dass wegen der standardmäßig aktivierten automatischen Anmeldung ohne Authentifizierung keine Zugangsdaten erforderlich seien, um den verwundbaren Endpunkt zu erreichen. Eine einzelne nicht authentifizierte Anfrage reiche aus, um ein gültiges Sitzungs-Token zu erhalten und anschließend mit der Ausnutzung fortzufahren.

Zur möglichen Angriffsfläche verweist Condon auf Scans von Censys, die ungefähr 7.000 öffentlich erreichbare Langflow-Instanzen identifiziert hätten. Zugleich schränkt der Quelltext diese Zahl ein: Die Daten von Censys enthalten historische Scan-Ergebnisse aus den vorangegangenen zwölf Monaten und bilden daher die aktuell exponierte Zahl von Systemen möglicherweise nicht exakt ab.

Die aktuelle Ausnutzung folgt auf ähnliche Aktivitäten gegen andere Langflow-Schwachstellen in diesem Jahr. Genannt werden CVE-2026-0770, CVE-2026-21445 und CVE-2026-33017. Bereits im vergangenen Jahr hatte zudem die US-Behörde CISA vor aktiver Ausnutzung von CVE-2025-3248 gewarnt. Laut Condon beobachtet VulnCheck auch dort weiterhin Aktivität, darunter solche, die mit der iranischen Bedrohungsgruppe MuddyWater in Verbindung gebracht wird.

Angreifer nutzen Path-Traversal-Lücke in Langflow aktiv aus

Ähnliche Artikel

Neueste Artikel