Una falla corretta in Langflow rimane ancora sfruttata

Una vulnerabilità scoperta nel framework open source per sviluppo IA Langflow rimane ancora oggi sfruttata nonostante sia già disponibile una correzione. Denominata CVE-2026-5027, la fallo classificata con un punteggio CVSS di 8,8 è risultata essere una traversata di directory (path traversal) che, se sfruttata, espone i sistemi a esecuzione remota di codice (RCE). Secondo le ricerche dell’EQST Lab, oltre 7.000 istanze Langflow sono esposte su Internet, aprendo la strada agli attacchi se non aggiornate.

Una vulnerabilità ancora aperta

La vulnerabilità, riscontrata nella funzionalità di download di Langflow, permette agli utenti malintenzionati di scrivere file in posizioni arbitrarie del sistema. Il problema nasce da una gestione errata dei nomi dei file tramite l’endpoint API POST /api/v2/files, dove il parametro filename non viene validato correttamente. Secondo il PoC pubblicato su GitHub da EQST Lab, gli hacker sono riusciti a sfruttare la vulnerabilità per inserire file controllati da loro in qualsiasi percorso del sistema. La vulnerabilità diventa particolarmente pericolosa se la funzionalità di “connexion automatique” è attiva.

“Le vulnerabilità che permettono la scrittura arbitraria dei file sono spesso più gravi rispetto ai download non controllati”, ha spiegato in un comunicato il gruppo di ricerca di EQST. “Il cattivo ha potere non solo nel contenuto del file da inserire, ma anche nel percorso su cui lo collocherà. Questo permette di modificare file importanti, programmare comandi, o anche prendere controllo del sistema in modo permanente”.

Come funziona l'attacco

Con una richiesta HTTP senza autenticazione, gli hacker possono sfruttare la falla per iniettare codice dannoso direttamente nel sistema. La vulnerabilità diventa estremamente pericolosa in combinazione con la funzionalità “connexion automatique”, che permette agli utenti non autenticati di accedere al sistema con una sessione valida. “Langflow è un framework open source popolare per costruire applicazioni IA”, ha commentato Jim Sherlock, VP di Ricerca in Cybersecurity per ProCircular. “Essendo la funzione ‘autologin’ disabilitata per default, un singolo attacco senza autenticazione potrebbe dare pieno controllo alla macchina. Chi utilizza Langflow in modo sbagliato espone l’azienda a minacce esterne che possono portare alla compromissione completa”.

Correzione disponibile da due mesi

Il problema è stato riscontrato inizialmente nel 2024, e dopo 73 giorni il team di Langflow ha rilasciato la correzione nella nuova versione 1.9.0 il 15 aprile. La correzione è inclusa anche nella versione più recente, 1.10.0, ma i rischi persistono per le organizzazioni che non si sono aggiornate. “Chi utilizza Langflow deve correggere la sua vulnerabilità il prima possibile”, ha sottolineato Sherlock. Tuttavia, l’azienda di sviluppo Langflow non è entrata immediatamente in contatto con la stampa per commentare l’emissione.

Crescita delle minacce su strumenti IA

Questa scoperta si inserisce in un contesto in cui gli hacker si concentrano sempre più sugli strumenti IA open source, ritenuti deboli per la natura open-source e l'uso spesso non controllato. Secondo i dati di VulnCheck, la CVE-2026-5027 è già stata sfruttata in diversi attacchi, con prove emerse da sistemi che non avevano applicato il fix. Inoltre, l’equipaggio iraniano MuddyWater, affiliato al governo, avrebbe utilizzato questa vulnerabilità come parte di attacchi mirati.

La risposta del mercato al rischio

Jim Sherlock indica che molti team aziendali hanno ampliato la propria superficie d’attacco introducendo Langflow, Flowise e similari, ma senza valutare correttamente il rischio di sicurezza. “Nel 2025, molte aziende hanno adottato piattaforme come Langflow per costruire agenti IA e pipeline RAG”, dice. “Eppure, sono state spesso configurate in modo molto semplice — con parametri di autenticazione deboli e senza protezioni aggiuntive. Questo rende l’infrastruttura molto esposta a minacce esterne”.

LangChain tra falli ricorrenti

Langflow non è l’unico ad aver riscontrato problemi di vulnerabilità. Lo scorso anno, ad esempio, si è scontrato due volte con problemi simili di path traversal e in marzo 2024 una vulnerabilità grave nel server Flowise ha dato accesso all’RCE. Secondo le ricerche, questa volta l’errore si distingue per la sua attualità e per essere stato sfruttato da gruppi di cybercriminali ben organizzati.

Nonostante la comunità open source abbia iniziato a rispondere con patch rapide in seguito alle divulgazioni, il tempo trascorso tra il riconoscimento del problema e la correzione sembra sufficiente per permettere a cybercriminali di agire. “Pensiamo che ci sia ancora molta strada da fare per rendere sicure le tecnologie IA open source”, aggiunge Sherlock.