Laut dem Sicherheitshinweis von Langflow erlaubt der Endpunkt POST /api/v1/build_public_tmp/{flow_id}/flow das Erstellen öffentlicher Flows ohne Authentifizierung. Wird der optionale Parameter “data” übergeben, nutzt der Endpunkt die vom Angreifer kontrollierten Flow-Daten – die beliebigen Python-Code in den Node-Definitionen enthalten – anstelle der in der Datenbank gespeicherten Flow-Daten. Dieser Code werde “ohne jegliche Sandbox” an exec() übergeben, was zu nicht authentifizierter Remote-Code-Ausführung führe.
Entdecker Aviral Srivastava grenzt die Schwachstelle von CVE-2025-3248 (CVSS-Wert 9.8) ab, einer weiteren kritischen Langflow-Lücke, die den Endpunkt /api/v1/validate/code missbrauchte, um ohne Authentifizierung beliebigen Python-Code auszuführen und die laut der US-Behörde CISA inzwischen aktiv ausgenutzt wird. Die gemeinsame Wurzel beider Fälle sei derselbe exec()-Aufruf am Ende der Verarbeitungskette.
Der betroffene Endpunkt sei bewusst ohne Authentifizierung ausgelegt, weil er öffentliche Flows ausliefere, so Srivastava. Eine nachträgliche Authentifizierungspflicht würde die gesamte Funktion zerstören; die eigentliche Lösung bestehe darin, den Parameter “data” aus dem öffentlichen Endpunkt vollständig zu entfernen, sodass nur die serverseitig gespeicherten Daten ausgeführt werden können.
Gegenüber The Hacker News bezeichnete Srivastava die Ausnutzung als “extrem einfach”: Eine einzige HTTP-POST-Anfrage mit bösartigem Python-Code im JSON-Payload, etwa über einen präparierten curl-Befehl, genüge für sofortige Remote-Code-Ausführung mit den vollen Rechten des Server-Prozesses. Damit lassen sich Umgebungsvariablen auslesen, Dateien verändern, um Backdoors einzuschleusen oder Daten zu löschen, sowie eine Reverse Shell aufbauen.
Sysdig beobachtete die ersten Ausnutzungsversuche innerhalb von 20 Stunden nach Veröffentlichung des Hinweises am 17. März 2026. Zu diesem Zeitpunkt habe kein öffentlicher Proof-of-Concept existiert; die Angreifer hätten funktionsfähige Exploits direkt aus der Beschreibung des Hinweises gebaut und das Internet nach verwundbaren Instanzen durchsucht. Abgegriffen wurden laut Sysdig unter anderem Schlüssel und Zugangsdaten, die Zugriff auf angebundene Datenbanken eröffneten.
Die Akteure gingen demnach vom automatisierten Scannen zu eigenen Python-Skripten über, um Daten aus “/etc/passwd” zu extrahieren und eine nicht näher bezeichnete Folge-Payload von der Adresse “173.212.205[.]251:8443” nachzuladen. Von derselben IP-Adresse ging eine umfassende Sammlung von Zugangsdaten aus, einschließlich Umgebungsvariablen, Konfigurationsdateien und dem Inhalt von .env-Dateien. Sysdig beschreibt dies als “einen Angreifer mit vorbereitetem Werkzeugkasten, der in einer einzigen Sitzung von der Verifizierung der Schwachstelle zum Ausrollen der Payload übergeht”. Wer hinter den Angriffen steht, ist bislang unbekannt.
Das Zeitfenster von 20 Stunden fügt sich in einen Trend, bei dem die mittlere Zeit bis zur Ausnutzung von 771 Tagen im Jahr 2018 auf wenige Stunden im Jahr 2024 gesunken ist. Laut Rapid7s Global Threat Landscape Report 2026 fiel die mediane Zeit von der Veröffentlichung einer Schwachstelle bis zur Aufnahme in den KEV-Katalog der CISA im vergangenen Jahr von 8,5 auf fünf Tage. Da Organisationen im Median rund 20 Tage zum Einspielen von Patches benötigten, blieben Verteidiger zu lange angreifbar.
Nutzern wird geraten, auf die gepatchte Version zu aktualisieren, Umgebungsvariablen und Geheimnisse exponierter Langflow-Instanzen zu prüfen, Schlüssel und Datenbankpasswörter vorsorglich zu rotieren, ausgehende Verbindungen zu ungewöhnlichen Callback-Diensten zu überwachen und den Netzwerkzugriff per Firewall oder Reverse Proxy mit Authentifizierung zu beschränken.
