Langflow

Die Schwachstelle betrifft Langflow, ein Werkzeug zum Erstellen und Betreiben von KI-gestützten Agenten und Arbeitsabläufen (Flows). Ursache ist ein Endpunkt, der öffentliche Flows ohne Anmeldung erstellt. Wird dabei der optionale Datenparameter mitgeschickt, verwendet der Endpunkt die vom Angreifer gelieferten Flow-Daten anstelle der in der Datenbank gespeicherten. Diese Daten dürfen in ihren Knotendefinitionen beliebigen Python-Code enthalten, der anschließend ohne jede Abschottung an die Ausführungsfunktion des Systems übergeben wird. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten eigenen Programmcode auf dem Server ausführen. Der Endpunkt ist bewusst ohne Anmeldung erreichbar, weil er öffentliche Flows bedienen soll – fälschlicherweise akzeptiert er jedoch auch angreiferseitig untergeschobene Flow-Daten mit ausführbarem Code. Betroffen sind alle Installationen, bei denen dieser Endpunkt erreichbar ist.