Em resumo : Uma falha crítica foi descoberta no Langflow, uma plataforma open source de criação de agentes IA, permitindo a execução de código a distância sem autenticação. A vulnerabilidade, já corrigida na versão 1.3.0, foi adicionada ao catálogo de vulnerabilidades exploradas conhecidas da CISA, que recomenda uma atualização imediata.
Uma vulnerabilidade crítica foi identificada por pesquisadores da Horizon3.ai no Langflow, uma plataforma open source de design de cadeias de agentes IA. Referenciada sob o código CVE-2025-3248, essa vulnerabilidade permite a execução de código remoto (Remote Code Execution) através de um endpoint acessível sem autenticação. A causa: o uso direto da função
exec() em código submetido pelo usuário, sem confinamento ou filtro. Embora corrigida na versão 1.3.0, a Agência Americana de Cibersegurança e Segurança de Infraestrutura (CISA) a adicionou em 5 de maio ao seu catálogo de vulnerabilidades exploradas conhecidas (KEV), com base em provas de exploração ativa.Fundada em 2020 e adquirida em 2024 pela DataStax, Langflow oferece uma interface visual que permite criar agentes de IA e fluxos de trabalho complexos a partir de modelos de linguagem, APIs e bancos de dados. Esta ferramenta low-code open source destina-se a desenvolvedores que desejam prototipar rapidamente aplicações generativas enquanto mantêm um controle granular sobre os componentes técnicos. O motor da plataforma baseia-se na cadeia LangChain, o que explica sua popularidade em projetos RAG (retrieval-augmented generation) e multi-agentes.
Para permitir a extensão personalizada de componentes, Langflow expõe um endpoint de validação de código "/api/v1/validate/code". Destinado a facilitar o teste de scripts de usuários, este mecanismo baseia-se em uma execução direta de código Python via
exec() sem controle de acesso ou ambiente seguro (sandboxing). Isso resulta em uma vulnerabilidade crítica: uma simples solicitação HTTP permite, sem autenticação, assumir o controle do servidor subjacente.Essa vulnerabilidade, destacada pela equipe de pesquisa ofensiva da Horizon3.ai, especializada na detecção proativa de vulnerabilidades, é classificada como crítica, com uma nota de 9,8/10 na escala CVSS (Common Vulnerability Scoring System). A publicação detalhada expõe não apenas a falha, mas também fornece uma prova de conceito acessível, tornando os riscos concretos e compreensíveis para um público técnico amplo.
As recomendações
Na sequência da divulgação, a CISA emitiu um alerta de segurança recomendando às agências governamentais e empresas uma atualização imediata para a versão 1.3.0, publicada em 31 de março, pois as versões anteriores são suscetíveis à injeção de código arbitrário.
Os pesquisadores da Horizon3.ai, que lembram que mais de 500 instâncias do Langflow estão expostas na Internet, destacam:
"De modo geral, recomendamos cautela ao expor na Internet ferramentas de IA recentemente desenvolvidas. Se você precisar expor externamente, considere colocá-lo em um VPC isolado e/ou atrás do SSO. Basta um único deployment dessas ferramentas em uma instância na nuvem para que uma violação esteja em mãos."
Para entender melhor
O que a ferramenta Langflow usa para sua cadeia principal e por que é popular em projetos RAG?
Langflow usa LangChain como motor de sua plataforma, o que é particularmente adequado para projetos RAG (retrieval-augmented generation), pois permite a integração fluida de modelos de linguagem, APIs e bancos de dados para criar agentes de IA complexos.
O que é o catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) da CISA e qual é o seu papel?
O catálogo KEV da CISA é um registro oficial de vulnerabilidades de segurança que foram exploradas ativamente. Seu papel é centralizar e destacar essas falhas críticas para informar e aconselhar agências e empresas sobre os patches prioritários a serem implementados para fortalecer sua cibersegurança.