SchwachstellenKI-SicherheitCyberkriminalität

Langflow-Sicherheitslücke CVE-2026-33017: Angriffe bereits 20 Stunden nach Veröffentlichung

Langflow-Sicherheitslücke CVE-2026-33017: Angriffe bereits 20 Stunden nach Veröffentlichung
Zusammenfassung

Eine kritische Sicherheitslücke in Langflow, einem verbreiteten Open-Source-Framework für künstliche Intelligenz, wird bereits innerhalb von 20 Stunden nach ihrer öffentlichen Bekanntmachung aktiv ausgenutzt. Die als CVE-2026-33017 katalogisierte Schwachstelle (CVSS-Score: 9,3) ermöglicht unauthentifizierte Remote Code Execution durch eine Kombination aus fehlender Authentifizierung und Code-Injection. Angreifer können eine einzige HTTP-POST-Anfrage mit bösartigem Python-Code in der JSON-Nutzlast absenden, um beliebigen Code mit den vollständigen Privilegien des Serverprozesses auszuführen. Dies verschafft ihnen Zugriff auf Umgebungsvariablen, Dateien, Anmeldeinformationen und Datenbankverbindungen. Die Sicherheitsfirma Sysdig beobachtete erste Exploitationsversuche ohne verfügbaren öffentlichen Proof-of-Concept-Code, was darauf hindeutet, dass Bedrohungsakteure sofort nach Veröffentlichung der Sicherheitswarnung funktionierende Exploits entwickelten. Für deutsche Nutzer und Unternehmen mit Langflow-Installationen besteht unmittelbare Gefahr: Die äußerst einfach auszunutzende Lücke gefährdet sensible Daten, API-Schlüssel und könnte zur Kompromittierung der gesamten IT-Infrastruktur führen. Ein sofortiges Update auf Version 1.9.0.dev8 oder später ist erforderlich, ebenso wie eine Überprüfung auf Kompromittierungen und eine Rotation aller Anmeldeinformationen.

Die kritische Schwachstelle CVE-2026-33017 in Langflow kombiniert fehlende Authentifizierung mit Code-Injection und ermöglicht vollständige Remote Code Execution. Der betroffene Endpunkt /api/v1/build_public_tmp/{flow_id}/flow akzeptiert Benutzereingaben ohne vorherige Authentifizierungsprüfung und leitet diese direkt an die Python-Funktion exec() weiter – ohne jegliche Sandboxing-Mechanismen.

Der Sicherheitsforscher Aviral Srivastava entdeckte die Lücke am 26. Februar 2026 und stellte fest, dass sie sich von der bereits bekannten CVE-2025-3248 unterscheidet, obwohl beide die gleiche unsichere exec()-Implementierung ausnutzen. Nach Srivastava’s Analyse ist die Ausnutzung “extrem einfach”: Ein einzelner HTTP-POST-Request mit manipuliertem JSON-Payload, der Python-Code in Node-Definitionen enthält, reicht für vollständige Code-Execution aus. Betroffene sind alle Langflow-Versionen bis einschließlich 1.8.1; eine Patch steht in Version 1.9.0.dev8 zur Verfügung.

Besonders alarmierend ist die Geschwindigkeit der Exploitation: Die Cloud-Security-Firma Sysdig beobachtete erste Angriffe bereits 20 Stunden nach der Veröffentlichung des Security-Advisories am 17. März 2026. Zu diesem Zeitpunkt existierte noch gar kein öffentlicher Proof-of-Concept-Code – Angreifer konstruierten funktionierende Exploits direkt aus der Sicherheitsmitteilung heraus.

Die Kampagne zeigt professionelle Organisation: Nach automatisierten Scans setzten die Täter benutzerdefinierte Python-Skripte ein, um Zugangsdaten, Umgebungsvariablen und .env-Dateien zu extrahieren. Die Credentials wurden anschließend für Datenbankzugriffe und potenzielle Supply-Chain-Kompromittierungen missbraucht. Payload-Server unter der IP-Adresse 173.212.205.251:8443 deuten auf vorbereitete Malware-Lieferketten hin.

Dieser Exploit-Ansatz spiegelt einen besorgniserregenden Trend wider: Der median Time-to-Exploit sank von 771 Tagen (2018) auf wenige Stunden (2024). Laut Rapid7’s Global Threat Landscape Report 2026 verkürzte sich die Zeit vom Vulnerability-Advisory bis zur Aufnahme in CISA’s Known Exploited Vulnerabilities-Katalog von 8,5 auf 5 Tage. Verteidiger hingegen benötigen durchschnittlich 20 Tage für Patch-Deployment – ein unhaltbarer Zeitlicher Vorteil für Angreifer.

Betroffene Organisationen sollten sofort Langflow aktualisieren, Umgebungsvariablen prüfen, Zugangsdaten rotieren und Netzwerkzugriff restriktiv kontrollieren.

Ähnliche Artikel