SchwachstellenCyberkriminalitätKI-Sicherheit

Kritische Sicherheitslücke in Langflow-KI-Plattform wird aktiv ausgenutzt

Kritische Sicherheitslücke in Langflow-KI-Plattform wird aktiv ausgenutzt
Zusammenfassung

Ein kritisches Sicherheitsloch im Langflow-Framework für die Entwicklung von KI-Agenten wird bereits aktiv ausgenutzt. Die Cybersecurity and Infrastructure Security Agency (CISA) hat die kritische Code-Injection-Schwachstelle CVE-2026-33017 mit einem CVSS-Score von 9,8 kurz nach ihrer Veröffentlichung am 17. März in ihren Katalog bekannter ausgebeuteter Lücken aufgenommen. Sicherheitsexperten beobachteten bereits weniger als 24 Stunden nach der Offenlegung erste Angriffe – bemerkenswert deshalb, weil Angreifer ohne öffentlich verfügbaren Exploit-Code eigenständig funktionierende Attacken entwickelten. Die Schwachstelle erlaubt es Angreifern, beliebigen Python-Code auf anfälligen Langflow-Instanzen auszuführen, ohne sich authentifizieren zu müssen. Dadurch können sie sensible Daten wie API-Schlüssel für OpenAI, Anthropic und AWS extrahieren und in verbundene Systeme eindringen. Für deutsche Unternehmen und Behörden, die Langflow zur KI-Entwicklung einsetzen oder Cloud-basierte KI-Dienste nutzen, bedeutet dies ein erhebliches Risiko. Das Fenster zwischen Veröffentlichung einer Sicherheitsmitteilung und aktiver Ausnutzung beträgt nunmehr nur noch Stunden statt Tage – traditionelle Patch-Zyklen reichen nicht mehr aus.

Die Sicherheitslücke CVE-2026-33017 wurde am 17. März erstmals veröffentlicht und zeigt ein klassisches Problem moderner Open-Source-Ökosysteme: Der Weg vom öffentlichen Sicherheitshinweis zur aktiven Ausnutzung ist dramatisch kurz geworden. Cloud-Sicherheitsexperte Sysdig beobachtete Exploitierungsversuche weniger als 24 Stunden nach der Disclosure — ohne dass eine öffentlich verfügbare Proof-of-Concept vorhanden war. Die Angreifer nutzten schlicht die in der Sicherheitswarnung veröffentlichten technischen Details.

Technisch betroffen ist der Endpoint “/api/v1/build_public_tmp/{flow_id}/flow”, der eine POST-Anfrage akzeptiert. Das Sicherheitsproblem entsteht durch einen Parameter namens “data”, mit dem Angreifer beliebige Python-Code in die Node-Definitionen einschleusen können. Dieser Code wird ohne jede Sandboxing-Umgebung direkt via “exec()” ausgeführt, was unauthentifizierten Remote Code Execution ermöglicht.

Besonders problematisch ist der Zugriff auf sensible Daten in kompromittierten Langflow-Instanzen. Da viele Deployments mit API-Schlüsseln für OpenAI, Anthropic und AWS konfiguriert sind, können Angreifer potenziell in Connected Systems eindringen und sich lateral in angebundene Datenbanken und Services ausbreiten. Dies macht die Lücke zu einer potentiellen Einbruchstelle in kritische Infrastrukturen.

Langflow selbst hat diese Schwachstelle von einer früheren, ähnlichen Lücke CVE-2025-3248 unterschieden, die bereits 2024 zum Verbreiten des Flodrix-Botnets missbraucht wurde. Version 1.9.0 oder später behebt die aktuelle Schwachstelle.

Sysdig warnt in einer wichtigen Analyse vor einem grundsätzlichen Paradigmenwechsel: “Das Zeitfenster zwischen Veröffentlichung einer Sicherheitswarnung und aktiver Exploitierung wird nun in Stunden, nicht mehr in Tagen oder Wochen gemessen.” Unternehmen, die auf traditionelle, regelmäßige Patch-Zyklen setzen, sind damit zu langsam. Sysdig empfiehlt als Gegenmaßnahmen Runtime-Detection, Netzwerk-Segmentierung und schnelle Reaktionsfähigkeit, um die Lücke zwischen Disclosure und Behebung zu schließen.

Ähnliche Artikel