Una falla ancora sfruttata

Il framework open source di sviluppo IA Langflow è stato oggetto di un’importante vulnerabilità scoperta da alcuni ricercatori e ora catalogata come CVE-2026-5027 (con un punteggio CVSS di 8.8). Pur essendo disponibile una correzione ormai da due mesi, la vulnerabilità continua a essere attivamente sfruttata, potendo permettere agli utenti non autorizzati di accedere ai sistemi vulnerabili.

La natura della vulnerabilità

La falla, classificata come "traversal directory", riguarda una gestione errata dei nomi file nella funzionalità di download di Langflow. Questa vulnerabilità consente a una minaccia esterna di scrivere file in posizioni arbitrarie all’interno del file system interessato. In condizioni favorevoli, questa capacità può evolversi in un’attacco di esecuzione remota di codice (RCE), permettendo ai criminali informatici di prendere il controllo completo della macchina compromessa.

Un exploit pubblicato

Gli esperti di cybersecurity hanno convalidato il funzionamento di un exploit che sfrutta questa vulnerabilità. Questo codice è stato reso pubblico su GitHub, facilitando ulteriormente gli attaccanti nella scoperta e nell'analisi del punto debole. In base agli studi dei ricercatori di EQST Lab, un'istanza Langflow esposta su Internet può diventare un bersaglio vulnerabile per un attacco.

I rischi reali

Dato il basso livello di sicurezza predefinito di Langflow, l'exploit non richiede credenziali per essere attuato. Il sistema è progettato con la connessione automatica disattivata per default, rendendo necessariamente più semplice per gli utenti non autorizzati ottenere accesso completo. Soltanto una richiesta HTTP ben formata può essere sufficiente per prendere il controllo di una macchina.

Quante istanze sono a rischio?

Secondo stime dell’organizzazione non profit Cloud Security Alliance (CSA), attorno a 7.000 istanze Langflow sono esposte pubblicamente su Internet. Queste infrastrutture potrebbero non essere state aggiornate, rendendole potenzialmente vulnerabili a questa stessa falla. Il rischio cresce se i sistemi non sono protetti con patch di sicurezza aggiornate.

Dettagli tecnici sul problema

Langflow, come strumento popolare di sviluppo low-code, permette agli utenti di creare facilmente agenti IA e pipeline RAG attraverso un'interfaccia drag-and-drop. La vulnerabilità riguarda l'endpoint API POST /api/v2/files, che non esegue una corretta convalida del nome del file ricevuto nel formato multipart/form-data. Questo lacune tecnica permette agli attaccanti di scrivere dati malevoli in qualsiasi punto del sistema, come ad esempio modificare configurazioni o installare codice malizioso.

La correzione del problema

Il problema è stato risolto con il rilascio della versione 1.9.0, avvenuta il 15 aprile 2024. Tuttavia, le versioni esistenti precedentemente, fino alla 1.8.4, sono tutte vulnerabili. Il patch è incluso anche nelle versioni successive, che vanno fino alla 1.10.0.

Perché è gravissimo?

    • La falla permette la scrittura arbitraria di file in qualsiasi punto del sistema.
    • Gli utenti non autenticati possono ottenere accesso a terminale.
    • Attacchi di RCE sono possibili in base al contesto di configurazione.
    • Il codice malizioso incluso può persistere e compromettere completamente il sistema.

Come rispondono gli esperti?

Jim Sherlock, direttore sottoposto al R&D in cybersecurity per ProCircular, ha dichiarato: “Il fatto che un framework open-source così ampio non tenga una politica di accesso predefinita rafforza la vulnerabilità. Per gli esperti e gli utenti di Langflow, è ormai un rischio prioritario di attacco informatico.”

Esempi attuali di sfruttamento

Il glossario delle minacce indica che la vulnerabilità CVE-2026-5027 è già stata utilizzata attivamente. Secondo VulnCheck, sono state rilevate prove di attività di inserimento di file su sistemi vulnerabili. Inoltre, la pubblicazione di un codice d’attacco ha drasticamente agevolato i criminali a bassa specializzazione tecnica nel lanciare attacchi a larga scala.

Le conseguenze per il settore tecnologico

Non è la prima volta che LangChain è coinvolto in simili incidenti di sicurezza. Diverse analisi sono state già pubblicate a dicembre e marzo 2024, che mettevano in guardia sulla sua architettura. Inoltre, sono emersi bug critici in Flowise, un altro strumento basato su MCP, dove sono state individuate configurazioni permettono l’accesso remoto non autorizzato.

Raccomandazioni per gli utenti

    • Aggiornare immediatamente Langflow a 1.9.0 o versione successiva.
    • Rafforzare le protezioni degli endpoint API, specialmente quelle dedicate al caricamento di file.
    • Disabilitare le opzioni di connessione automatica non necessarie.
    • Utilizzare firewall e controlli in ingresso per limitare l'accesso alle istanze esposte.
    • Eseguire scansioni regolari con strumenti di vulnerabilità.

Il rischio a lungo termine

La vulnerabilità non solo mette a rischio le istanze di Langflow esistenti, ma segnala anche un problema più ampio: l'assenza di sicurezza in strumenti adottati in maniera veloce. Molte organizzazioni, in nome della flessibilità operativa, hanno implementato strumenti low-code senza considerare aspetti di protezione chiave per la cybersicurezza. Questo ha espanso la superficie di attacco e ha esposto sistemi interni a rischi con effetti irreparabili.

Chi è dietro gli sfruttamenti?

Le analisi condotte in questo settore collegano l’uso della vulnerabilità CVE-2026-5027 al gruppo MuddyWater, una minaccia di origine iraniana sostenuta dal Governo e conosciuta per attacchi mirati e di lungo periodo. La facilità di accesso alla vulnerabilità e l’ampia pubblicazione del codice di sfruttamento potrebbe significare