In kort : Een kritieke kwetsbaarheid is ontdekt in Langflow, een platform voor het creëren van AI-agenten, waardoor code op afstand kan worden uitgevoerd zonder authenticatie. De kwetsbaarheid is nu opgelost in versie 1.3.0 en is toegevoegd aan het bekende geëxploiteerde kwetsbaarheidencatalogus van de CISA, die een onmiddellijke update aanbeveelt.
Onderzoekers van Horizon3.ai hebben een kritieke kwetsbaarheid geïdentificeerd in Langflow, een open source platform voor het ontwerpen van AI-agentenketens. Deze kwetsbaarheid, aangeduid met de code CVE-2025-3248, maakt Remote Code Execution mogelijk via een eindpunt dat toegankelijk is zonder authenticatie. Dit komt door het directe gebruik van de
exec() functie op door de gebruiker ingediende code, zonder enige beperking of filter. Hoewel dit probleem is opgelost in versie 1.3.0, heeft het Amerikaanse Agentschap voor Cyberbeveiliging en Infrastructuurbeveiliging (CISA) het op 5 mei toegevoegd aan zijn catalogus van bekende geëxploiteerde kwetsbaarheden (KEV), op basis van bewijs van actieve exploitatie.Opgericht in 2020 en in 2024 overgenomen door DataStax, biedt Langflow een visuele interface waarmee gebruikers AI-agenten en complexe werkstromen kunnen creëren uit taalmodellen, API's en databases. Deze low-code open source tool is bedoeld voor ontwikkelaars die snel generatieve applicaties willen prototypen, terwijl ze een gedetailleerde controle behouden over de technische componenten. Het platform is gebaseerd op de LangChain-keten, waardoor het populair is in RAG (retrieval-augmented generation) en multi-agent projecten.
Om de aangepaste uitbreiding van componenten mogelijk te maken, biedt Langflow een code-validatie eindpunt "/api/v1/validate/code". Dit mechanisme, bedoeld om gebruikersscripts te testen, is gebaseerd op een directe uitvoering van Python-code via
exec() zonder toegangscontrole of beveiligde omgeving (sandboxing). Dit resulteert in een kritieke kwetsbaarheid: een eenvoudige HTTP-verzoek kan, zonder authenticatie, de onderliggende server overnemen.Deze kwetsbaarheid, aangetoond door het offensieve onderzoeksteam van Horizon3.ai, gespecialiseerd in proactieve kwetsbaarheidsdetectie, wordt als kritiek geclassificeerd, met een score van 9,8/10 op de CVSS-schaal (Common Vulnerability Scoring System). De gedetailleerde publicatie onthult niet alleen de kwetsbaarheid, maar biedt ook een toegankelijke bewijs van concept, waardoor de risico's concreet en begrijpelijk worden voor een breed technisch publiek.
Aanbevelingen
Na de bekendmaking heeft de CISA een beveiligingswaarschuwing uitgegeven waarin overheidsinstanties en bedrijven wordt aanbevolen om onmiddellijk bij te werken naar versie 1.3.0, uitgebracht op 31 maart, aangezien eerdere versies vatbaar zijn voor injectie van willekeurige code.
De onderzoekers van Horizon3.ai, die erop wijzen dat meer dan 500 Langflow-instanties op internet zijn blootgesteld, benadrukken:
"Over het algemeen raden we aan voorzichtig te zijn bij het blootstellen van recent ontwikkelde AI-tools aan internet. Als u ze extern moet blootstellen, overweeg dan om ze in een geïsoleerde VPC en/of achter SSO te plaatsen. Eén enkele implementatie van deze tools op een cloud-instantie kan al leiden tot een inbreuk."
Beter begrijpen
Wat gebruikt de Langflow-tool voor zijn hoofdketen en waarom is het populair in RAG-projecten?
Langflow gebruikt LangChain als de motor voor zijn platform, wat bijzonder geschikt is voor RAG (retrieval-augmented generation) projecten aangezien het naadloze integratie van taalmodellen, API's en databases mogelijk maakt om complexe AI-agents te creëren.
Wat is het Known Exploited Vulnerabilities (KEV) catalogus van de CISA en wat is de rol ervan?
De KEV-catalogus van de CISA is een officieel register van beveiligingskwetsbaarheden die actief zijn uitgebuit. De rol ervan is om deze kritieke gebreken te centraliseren en te benadrukken om agentschappen en bedrijven te informeren en te adviseren over de prioritaire patches die moeten worden geïmplementeerd om hun cyberbeveiliging te versterken.