Die Schwachstelle CVE-2026-33017 ist eine Code-Injection-Verwundbarkeit, die es Angreifern erlaubt, ohne Authentifizierung beliebige Python-Code auszuführen. Sie betrifft Langflow-Versionen 1.8.1 und älter. Möglich wird dies durch die fehlende Sandboxing bei der Ausführung von Flows – ein massives Sicherheitsrisiko für eine Plattform, die in produktiven KI-Systemen zum Einsatz kommt.
Nach Aussagen der Sicherheitsforschern von Endor Labs begannen Hacker bereits am 19. März mit gezielten Angriffen. Besonders bemerkenswert: Die Angreifer entwickelten ihre Exploits direkt aus den Informationen der offiziellenSicherheitswarnung – es gab keinen vorab veröffentlichten Proof-of-Concept-Code. Dies zeigt, wie schnell und effizient moderne Cyberkriminelle arbeiten. Der Angriffsablauf war präzise orchestriert: automatisierte Scanning-Aktivitäten nach 20 Stunden, erste Exploitierungen mit Python-Skripten nach 21 Stunden, Datenraub von Umgebungsvariablen und Datenbanken nach 24 Stunden.
CISA reagierte konsequent und listete die Schwachstelle in sein Verzeichnis aktiv ausgebeuteter Lücken auf. Bundesbehörden in den USA haben eine Frist bis 8. April, um Sicherheits-Updates einzuspielen oder die Software nicht mehr zu nutzen. Für Private-Sector-Unternehmen und auch deutsche Behörden ist dies ein verbindlicher Richtwert.
Die Lösung ist klar: Upgrade auf Langflow 1.9.0 oder neuer ist zwingend notwendig. Alternativ sollten Administrator den verwundbaren Endpoint deaktivieren oder einschränken. Endor Labs empfiehlt zusätzlich, Langflow nicht direkt dem Internet auszusetzen, den ausgehenden Datenverkehr zu überwachen und nach verdächtigen Aktivitäten sofort alle API-Schlüssel, Datenbankzugänge und Cloud-Secrets zu rotieren.
Dies ist bereits die zweite kritische Langflow-Lücke innerhalb weniger Monate: Im Mai 2025 warnte CISA vor CVE-2025-3248, ebenfalls mit kritischem Rating und unauthentifiziertem RCE-Potenzial. Die Häufung unterstreicht, dass Langflow als Ziel hochgefährlich geworden ist.