Forscher des auf Anwendungssicherheit spezialisierten Unternehmens Endor Labs zufolge begannen Angreifer am 19. März mit der Ausnutzung von CVE-2026-33017 – rund 20 Stunden, nachdem die Sicherheitsmeldung zur Schwachstelle öffentlich geworden war.

Zu diesem Zeitpunkt existierte noch kein öffentlicher Proof-of-Concept-Code. Endor Labs geht deshalb davon aus, dass die Angreifer ihre Exploits unmittelbar aus den in der Meldung enthaltenen Informationen entwickelten. Nach Darstellung der Forscher setzte die automatisierte Scan-Aktivität innerhalb von 20 Stunden ein, gefolgt von der Ausnutzung über Python-Skripte nach 21 Stunden und dem Abgreifen von Daten – konkret von .env- und .db-Dateien – nach 24 Stunden.

Langflow ist ein quelloffenes visuelles Framework zum Bau von KI-Workflows und kommt auf 145.000 Sterne auf GitHub. Es bietet eine Drag-and-drop-Oberfläche, um Knoten zu ausführbaren Pipelines zu verbinden, sowie eine REST-Programmierschnittstelle, um diese programmatisch auszuführen.

Die jüngste Lücke CVE-2026-33017 erlaubt die Ausführung beliebigen Python-Codes und betrifft die Versionen 1.8.1 und früher. Sie lässt sich über eine einzige präparierte HTTP-Anfrage ausnutzen, da die Flow-Ausführung nicht in einer Sandbox isoliert ist.

Es ist nicht das erste Mal, dass Langflow im Fokus steht: Im Mai 2025 hatte CISA bereits vor der aktiven Ausnutzung von CVE-2025-3248 gewarnt, einer kritischen Schwachstelle an einem API-Endpunkt, die unauthentifizierte Codeausführung aus der Ferne ermöglicht und potenziell zur vollständigen Übernahme des Servers führen kann.

CISA stufte die aktuelle Lücke nicht als von Ransomware-Akteuren ausgenutzt ein, gab den US-Bundesbehörden aber bis zum 8. April Zeit, die Sicherheitsupdates oder Gegenmaßnahmen umzusetzen oder das Produkt nicht mehr einzusetzen. Administratoren wird empfohlen, auf Langflow 1.9.0 oder höher zu aktualisieren, womit das Problem behoben ist, oder den verwundbaren Endpunkt zu deaktivieren beziehungsweise einzuschränken.

Endor Labs rät zusätzlich, Langflow nicht direkt aus dem Internet erreichbar zu machen, den ausgehenden Datenverkehr zu überwachen sowie bei verdächtigen Aktivitäten API-Schlüssel, Datenbank-Zugangsdaten und Cloud-Geheimnisse auszutauschen.

Die Frist von CISA gilt formell für Organisationen, die unter die Binding Operational Directive (BOD) 22-01 fallen. Unternehmen der Privatwirtschaft, Bundesstaaten und Kommunen sowie weitere nicht erfasste Stellen werden jedoch ebenfalls angehalten, sie als Richtwert zu verstehen und entsprechend zu reagieren.