Langflow ist ein verbreitetes Low-Code-Framework zum Aufbau und Betrieb von KI-Agenten. Die Schwachstelle CVE-2026-33017 betrifft den Endpunkt POST “/api/v1/build_public_tmp/{flow_id}/flow”, über den unautorisierte Nutzer ohne Authentifizierung öffentliche Flows erstellen können.

Laut dem Sicherheitshinweis von Langflow auf GitHub verarbeitet der Endpunkt bei Übergabe des optionalen Parameters “data” angreiferkontrollierte Flow-Daten statt der in der Datenbank gespeicherten Daten. Diese Daten können beliebigen Python-Code in Knotendefinitionen enthalten. Der Code wird ohne jegliche Sandbox an “exec()” übergeben, was unauthentifizierten Nutzern die Remote-Code-Ausführung eröffnet.

Langflow weist darauf hin, dass sich diese Lücke von CVE-2025-3248 unterscheidet, einer ähnlichen und ebenso leicht ausnutzbaren Schwachstelle, die im vergangenen Jahr zur Verbreitung des Flodrix-Botnets missbraucht wurde.

Nach Einschätzung der Sysdig-Forscher enthielt der Sicherheitshinweis zu CVE-2026-33017 genügend Details – etwa den verwundbaren Endpunktpfad und den Mechanismus der Code-Injektion –, um ohne weitere Recherche einen funktionierenden Exploit zu bauen. Dass Schwachstellen in quelloffenen Werkzeugen binnen Stunden nach ihrer Offenlegung ausgenutzt werden, sei laut Sysdig inzwischen eher die Regel als die Ausnahme. KI-Workloads gerieten zunehmend ins Visier der Angreifer, da sie hochwertige Daten und Zugang zur Software-Lieferkette böten und oft keine robusten Sicherheitsvorkehrungen besäßen.

“Für Verteidiger lautet die praktische Erkenntnis, dass das Zeitfenster zwischen der Veröffentlichung eines Sicherheitshinweises und der aktiven Ausnutzung nun in Stunden statt in Tagen oder Wochen zu messen ist”, erklärte Sysdig.

Langflow empfiehlt Nutzern, möglichst rasch auf die bereinigte Version 1.9.0 umzusteigen. Sysdig warnt zugleich, dass Organisationen mit festen Patch-Zyklen von Angreifern überholt würden. Als Gegenmaßnahmen nennt das Unternehmen Laufzeiterkennung, Netzwerksegmentierung und schnelle Reaktionsfähigkeit, um die Lücke zwischen Offenlegung und Behebung zu überbrücken.