У короткому : Критична вразливість була виявлена в Langflow, платформі з відкритим кодом для створення агентів ШІ, що дозволяє віддалене виконання коду без аутентифікації. Вразливість, виправлена у версії 1.3.0, була додана до каталогу відомих експлуатованих вразливостей CISA, яка рекомендує негайне оновлення.
Критична вразливість була виявлена дослідниками з Horizon3.ai в Langflow, платформі з відкритим кодом для проєктування ланцюгів агентів ШІ. Зазначена під кодом CVE-2025-3248, ця вразливість дозволяє віддалене виконання коду (Remote Code Execution) через кінцеву точку, доступну без аутентифікації. Причина: безпосереднє використання функції
exec() для коду, наданого користувачем, без обмеження чи фільтрації. Хоча виправлена у версії 1.3.0, Американське агентство з кібербезпеки та безпеки інфраструктур (CISA) 5 травня додало її до свого каталогу відомих експлуатованих вразливостей (KEV), на основі доказів активної експлуатації.Заснована у 2020 році та придбана у 2024 році компанією DataStax, Langflow пропонує візуальний інтерфейс для створення агентів ШІ та складних робочих процесів на основі мовних моделей, API та баз даних. Цей інструмент з відкритим кодом розрахований на розробників, які бажають швидко прототипувати генеративні застосунки, зберігаючи при цьому детальний контроль над технічними компонентами. Мотор платформи базується на ланцюзі LangChain, що пояснює її популярність у проектах RAG (retrieval-augmented generation) та мультиагентних системах.
Для розширення налаштувань компонентів Langflow надає кінцеву точку для перевірки коду "/api/v1/validate/code". Задуманий для полегшення тестування користувацьких скриптів, цей механізм базується на прямому виконанні коду Python через
exec() без контролю доступу чи безпечного середовища (пісочниці). У результаті виникає критична вразливість: простий HTTP-запит дозволяє без аутентифікації отримати контроль над сервером, що підлягає.Ця вразливість, висвітлена командою з дослідницьких атак Horizon3.ai, спеціалізованою на проактивному виявленні вразливостей, класифікується як критична, з оцінкою 9,8/10 за шкалою CVSS (Common Vulnerability Scoring System). Детальна публікація висвітлює не лише вразливість, але й надає доказ концепції, що робить ризики зрозумілими для широкої технічної аудиторії.
Рекомендації
Після розкриття CISA випустило попередження про безпеку, рекомендуючи державним агентствам та компаніям негайно оновитися до версії 1.3.0, випущеної 31 березня, оскільки попередні версії можуть бути уразливі до введення довільного коду.
Дослідники з Horizon3.ai, які нагадують, що понад 500 екземплярів Langflow відкриті в Інтернеті, підкреслюють:
"Загалом, ми рекомендуємо бути обережними при відкритті нових інструментів ШІ в Інтернеті. Якщо ви повинні відкрити його зовні, розгляньте можливість розміщення у ізольованій VPC і/або за SSO. Достатньо одного розгортання цих інструментів на хмарному екземплярі, щоб порушення опинилося в руках".
Краще зрозуміти
Що використовує інструмент Langflow для свого основного ланцюга і чому він популярний у проєктах RAG?
Langflow використовує LangChain як двигун для своєї платформи, що особливо підходить для проєктів RAG (retrieval-augmented generation), оскільки це дозволяє безперешкодну інтеграцію мовних моделей, API та баз даних для створення складних агентів штучного інтелекту.
Що таке каталог відомих експлуатованих вразливостей (KEV) CISA та яка його роль?
Каталог KEV CISA є офіційним реєстром вразливостей безпеки, які активно експлуатувалися. Його роль полягає в централізації та підкресленні цих критичних недоліків, щоб інформувати й консультувати агентства та компанії щодо впровадження пріоритетних виправлень для зміцнення їхньої кібербезпеки.