Критическая уязвимость в платформе Langflow подверглась активной эксплуатации уже через 20 часов после публичного раскрытия информации. Этот инцидент наглядно демонстрирует, с какой скоростью злоумышленники превращают свежеопубликованные уязвимости в рабочие инструменты для атак.
Проблема, зарегистрированная под идентификатором CVE-2026-33017 (оценка CVSS — 9,3 балла из 10), представляет собой сочетание отсутствия аутентификации с инъекцией кода, что в конечном итоге позволяет злоумышленнику выполнить произвольный код на сервере.
Согласно официальному уведомлению Langflow, уязвимым оказался эндпоинт POST /api/v1/build_public_tmp/{flow_id}/flow. Этот интерфейс предназначен для сборки публичных потоков и, по замыслу разработчиков, не требует аутентификации, чтобы не нарушать работу функции публичных флоу.
Проблема возникает, когда в запросе передаётся необязательный параметр data. В этом случае система использует данные потока, предоставленные атакующим, вместо данных, хранящихся в базе данных. А поскольку в определениях узлов может содержаться произвольный Python-код, он передаётся в функцию exec() без какой-либо изоляции (песочницы). Результат — неаутентифицированное удалённое выполнение кода.
Уязвимость затрагивает все версии платформы Langflow с открытым исходным кодом до версии 1.8.1 включительно. Проблема устранена в разработческой версии 1.9.0.dev8.
Исследователь безопасности Авирал Шривастава сообщил о найденной уязвимости 26 февраля 2026 года. Он отмечает, что CVE-2026-33017 принципиально отличается от другой критической уязвимости Langflow — CVE-2025-3248 (CVSS 9,8). Та проблема эксплуатировала эндпоинт /api/v1/validate/code для выполнения произвольного Python-кода также без аутентификации. По данным Агентства кибербезопасности и защиты инфраструктуры США (CISA), CVE-2025-3248 уже активно используется в атаках.
«CVE-2026-33017 находится в эндпоинте /api/v1/build_public_tmp/{flow_id}/flow, — объясняет Шривастава. — Коренная причина — использование того же вызова exec(), что и в CVE-2025-3248, на конечном этапе обработки».
Исследователь подчёркивает, что просто добавить требование аутентификации к этому эндпоинту невозможно — это сломает всю функциональность публичных потоков. Реальное исправление заключается в полном удалении параметра data из публичного эндпоинта, чтобы публичные потоки могли выполнять только те данные, которые хранятся на сервере, и никогда не принимали определения, подконтрольные атакующему.
При успешной атаке злоумышленник отправляет единственный HTTP-запрос и получает возможность выполнить произвольный код с полными привилегиями серверного процесса. Дальнейшие возможности включают:
чтение переменных окружения, где часто хранятся секреты и ключи доступа;
изменение или удаление файлов для внедрения бэкдоров или уничтожения данных;
получение reverse shell для полноценного удалённого управления сервером.
По словам Шриваставы, эксплуатация CVE-2026-33017 «предельно проста» и может быть выполнена с помощью одной команды curl. Достаточно одного HTTP POST-запроса с вредоносным Python-кодом в JSON-полезной нагрузке.
Специалисты облачной компании Sysdig зафиксировали первые попытки эксплуатации CVE-2026-33017 уже через 20 часов после публикации уведомления 17 марта 2026 года.
«На тот момент публичного кода эксплойта (proof-of-concept) не существовало, — отмечают в Sysdig. — Злоумышленники создали рабочие эксплойты непосредственно на основе текста уведомления и начали сканировать интернет на предмет уязвимых экземпляров».
В результате атак злоумышленникам удалось похитить ключи и учётные данные, которые открыли доступ к подключённым базам данных и создали потенциальную угрозу компрометации цепочки поставок программного обеспечения.
Исследователи наблюдали, как злоумышленники перешли от автоматизированного сканирования к использованию собственных Python-скриптов. Эти скрипты выполняли:
извлечение содержимого файла /etc/passwd;
доставку следующей стадии вредоносной нагрузки, размещённой на сервере 173.212.205[.]251:8443.
Последующая активность с того же IP-адреса указывает на тщательно организованную операцию по сбору учётных данных: злоумышленники собирали переменные окружения, перебирали конфигурационные файлы и базы данных, а также извлекали содержимое файлов .env.
«Это атакующий с подготовленным набором инструментов, который переходит от проверки наличия уязвимости к развёртыванию полезной нагрузки в рамках одной сессии», — подчёркивают эксперты Sysdig. Личность злоумышленников на данный момент не установлена.
Тревожная тенденция: время на реакцию сокращается до минимума
Промежуток в 20 часов между публикацией уведомления и первой атакой укладывается в ускоряющийся тренд. Согласно данным Rapid7 из отчёта Global Threat Landscape Report 2026, медианное время от публикации уязвимости до её включения в каталог известных эксплуатируемых уязвимостей (KEV) CISA сократилось с 8,5 дня до пяти дней за последний год.
«Сжатие временных рамок создаёт серьёзные проблемы для защитников, — отмечается в отчёте. — Медианное время развёртывания патчей в организациях составляет примерно 20 дней. Это означает, что защитники остаются уязвимыми слишком долго. Злоумышленники отслеживают те же каналы уведомлений, что и защитники, и создают эксплойты быстрее, чем большинство организаций успевают оценить, протестировать и развернуть патчи».
Рекомендации по защите
Пользователям Langflow настоятельно рекомендуется:
обновить платформу до последней исправленной версии в кратчайшие сроки;
провести аудит переменных окружения и секретов на всех публично доступных экземплярах Langflow;
в качестве меры предосторожности сменить ключи доступа и пароли к базам данных;
отслеживать исходящие соединения на предмет обращений к подозрительным сервисам;
ограничить сетевой доступ к экземплярам Langflow с помощью правил файрвола или reverse proxy с аутентификацией.
AI-нагрузки в фокусе атакующих
Активность, направленная на эксплуатацию CVE-2025-3248 и CVE-2026-33017, подчёркивает растущий интерес злоумышленников к AI-нагрузкам. Причины очевидны: доступ к ценной информации, интеграция в цепочки поставок ПО и, зачастую, недостаточный уровень защищённости таких систем.
«CVE-2026-33017 демонстрирует паттерн, который становится нормой, а не исключением: критические уязвимости в популярных инструментах с открытым исходным кодом превращаются в оружие в течение нескольких часов после раскрытия информации, часто ещё до появления публичного кода эксплойта», — резюмируют в Sysdig.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Масштабная атака на браузерные расширения вскрыла уязвимость, о которой пользователи даже не подозревали. Популярный инструмент «Save Image as Type» (Сохранить изображение как), который помогал миллионам людей конвертировать WebP-картинки в привычные форматы, оказался в руках злоумышленников. Результат: более миллиона пользователей Chrome по всему миру стали жертвами скрытой махинации.
Пользователям популярного дистрибутива Ubuntu стоит обратить пристальное внимание на безопасность своих систем. Исследователи обнаружили опасную уязвимость высокого уровня серьезности, которая затрагивает стандартные установки Ubuntu Desktop начиная с версии 24.04. Проблема позволяет злоумышленнику с минимальными привилегиями получить полный root-доступ к компьютеру жертвы.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально включило уязвимость средней степени опасности в популярном FTP-сервере Wing FTP в свой каталог известных эксплуатируемых уязвимостей (KEV). Данное решение было принято на основании подтвержденных данных о том, что проблема активно используется злоумышленниками в реальных кибератаках.