TLDR : Una falla critica è stata scoperta in Langflow, una piattaforma open source per la creazione di agenti IA, permettendo l'esecuzione di codice a distanza senza autenticazione. La vulnerabilità, ora corretta nella versione 1.3.0, è stata aggiunta al catalogo di vulnerabilità sfruttate conosciute della CISA, che raccomanda un aggiornamento immediato.
È stata identificata una vulnerabilità critica dai ricercatori di Horizon3.ai in Langflow, una piattaforma open source per la progettazione di catene di agenti IA. Riferita con il codice CVE-2025-3248, questa vulnerabilità consente l'esecuzione di codice remoto (Remote Code Execution) tramite un endpoint accessibile senza autenticazione. La causa: l'uso diretto della funzione
exec() su codice inviato dall'utente, senza contenimento né filtro. Sebbene corretta nella versione 1.3.0, l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) l'ha aggiunta il 5 maggio scorso al suo catalogo delle vulnerabilità conosciute sfruttate (KEV), sulla base di prove di sfruttamento attivo.Fondata nel 2020 e acquisita nel 2024 da DataStax, Langflow offre un'interfaccia visiva che permette di creare agenti IA e flussi di lavoro complessi a partire da modelli di linguaggio, API e database. Questo strumento low-code open source è rivolto agli sviluppatori che desiderano prototipare rapidamente applicazioni generative mantenendo un controllo dettagliato sui componenti tecnici. Il motore della piattaforma si basa sulla catena LangChain, il che spiega la sua popolarità nei progetti RAG (retrieval-augmented generation) e multi-agenti.
Per consentire l'estensione personalizzata dei componenti, Langflow espone un endpoint di validazione del codice "/api/v1/validate/code". Supposto per facilitare il test di script utenti, questo meccanismo si basa su un'esecuzione diretta di codice Python tramite
exec() senza controllo di accesso né ambiente sicuro (sandboxing). Ne risulta una vulnerabilità critica: una semplice richiesta HTTP permette, senza autenticazione, di prendere il controllo del server sottostante.Questa vulnerabilità, evidenziata dal team di ricerca offensiva di Horizon3.ai, specializzato nella rilevazione proattiva di vulnerabilità, è classificata critica, con un punteggio di 9,8/10 sulla scala CVSS (Common Vulnerability Scoring System). La pubblicazione dettagliata non solo espone la falla, ma fornisce anche una prova di concetto accessibile, rendendo i rischi concreti e comprensibili a un pubblico tecnico ampio.
Le raccomandazioni
Sulla scia della divulgazione, la CISA ha emesso un avviso di sicurezza raccomandando alle agenzie governative e alle imprese un aggiornamento immediato alla versione 1.3.0, pubblicata il 31 marzo scorso, poiché le versioni precedenti potrebbero essere soggette a iniezioni di codice arbitrario.
I ricercatori di Horizon3.ai, che ricordano che più di 500 istanze di Langflow sono esposte su Internet, sottolineano:
"In generale, raccomandiamo cautela quando si espongono su Internet strumenti IA recentemente sviluppati. Se devono essere esposti esternamente, considerate di metterli in un VPC isolato e/o dietro il SSO. Basta un solo dispiegamento di questi strumenti su un'istanza cloud perché una violazione sia nelle mani".
Per capire meglio
Cosa utilizza lo strumento Langflow per la sua catena principale e perché è popolare nei progetti RAG?
Langflow utilizza LangChain come motore per la sua piattaforma, particolarmente adatto ai progetti RAG (retrieval-augmented generation) perché consente l'integrazione fluida di modelli linguistici, API e database per creare agenti IA complessi.
Cos'è il catalogo delle vulnerabilità sfruttate note (KEV) della CISA e qual è il suo ruolo?
Il catalogo KEV della CISA è un registro ufficiale delle vulnerabilità di sicurezza che sono state sfruttate attivamente. Il suo ruolo è centralizzare e mettere in evidenza questi difetti critici per informare e consigliare le agenzie e le aziende sui correttivi prioritari da implementare per rafforzare la loro sicurezza informatica.