CVE-2026-33017: Vulnerabilidad crítica en Langflow activa ataques inmediatos
Publicado el
Vulnerabilidad crítica en Langflow
La reciente vulnerabilidad crítica en Langflow, catalogada como CVE-2026-33017, ha comenzado a ser explotada activamente en un periodo sorprendentemente corto de 20 horas desde su divulgación pública. Este hecho pone de manifiesto la rapidez con la que los actores de amenazas pueden aprovechar las vulnerabilidades recién reveladas.
CVE-2026-33017, que cuenta con un CVSS score de 9.3, se relaciona con una falta de autenticación combinada con inyección de código, lo que puede dar lugar a la ejecución remota de código. Según el aviso de seguridad de Langflow, el endpoint POST /api/v1/build_public_tmp/{flow_id}/flow permite la creación de flujos públicos sin requerir autenticación. Cuando se suministra un parámetro de datos opcional, el endpoint utiliza datos controlados por el atacante, que pueden incluir código Python arbitrario en las definiciones de nodos, en lugar de los datos almacenados en la base de datos. Este código se ejecuta mediante la función exec() sin ningún tipo de sandboxing, lo que facilita la ejecución no autenticada de código.
La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia artificial (IA) de código abierto anteriores y hasta la versión 1.8.1. Ya ha sido corregida en la versión de desarrollo 1.9.0.dev8. El investigador de seguridad Aviral Srivastava, quien descubrió y reportó el fallo el 26 de febrero de 2026, explicó que este error es distinto de CVE-2025-3248 (con un CVSS score de 9.8), otro fallo crítico en Langflow que abusó del endpoint /api/v1/validate/code para ejecutar código Python arbitrario sin requerir autenticación. Desde su publicación, CVE-2026-33017 ha sido objeto de explotación activa, según la CISA (Agencia de Seguridad Cibernética e Infraestructura de EE. UU.).
Srivastava comentó que la raíz del problema proviene del uso de la misma llamada exec() que se utilizó en CVE-2025-3248. Este endpoint está diseñado para ser no autenticado al servir flujos públicos, por lo que no se puede añadir un requisito de autenticación sin romper la funcionalidad de flujos públicos. La solución real implicaría eliminar el parámetro de datos del endpoint público para que solo se puedan ejecutar los flujos almacenados en el servidor.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante enviar una única solicitud HTTP y lograr la ejecución de código arbitrario con todos los privilegios del proceso del servidor. Esto permitiría al atacante leer variables de entorno, acceder o modificar archivos para inyectar puertas traseras, borrar datos sensibles e incluso obtener un reverse shell. Srivastava advirtió que explotar CVE-2026-33017 es extremadamente fácil y se puede llevar a cabo mediante un comando curl manipulado. Una sola solicitud POST HTTP con código Python malicioso en el payload JSON es suficiente para conseguir una ejecución remota de código inmediata.
La firma de seguridad en la nube Sysdig ha informado que observó los primeros intentos de explotación dirigidos a CVE-2026-33017 en el entorno real dentro de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026. Según Sysdig, no existía ningún código de prueba de concepto (PoC) público en ese momento, lo que significa que los atacantes construyeron exploits directamente a partir de la descripción del aviso y comenzaron a escanear Internet en busca de instancias vulnerables. La información exfiltrada incluía claves y credenciales, lo que proporcionó acceso a bases de datos conectadas y potenciales compromisos en la cadena de suministro de software.
Los actores de amenazas también han sido observados pasando de escaneos automatizados a utilizar scripts de Python personalizados para extraer datos de /etc/passwd y entregar un payload de siguiente etapa no especificado alojado en 173.212.205[.]251:8443. Las actividades posteriores desde la misma dirección IP indican una operación exhaustiva de recolección de credenciales, que incluye la recopilación de variables de entorno, enumeración de archivos de configuración y bases de datos, y extracción de los contenidos de archivos .env. Esto sugiere una planificación por parte del actor de amenazas para entregar el malware una vez que se identifique un objetivo vulnerable.
El periodo de 20 horas entre la publicación del aviso y la primera explotación encaja con una tendencia acelerada que ha visto cómo el tiempo medio para explotar (TTE) se ha reducido de 771 días en 2018 a solo unas horas en 2024. Según el Informe Global de Amenazas 2026 de Rapid7, el tiempo medio desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de CISA de Vulnerabilidades Conocidas Explotadas (KEV) se redujo de 8.5 días a 5 días en el último año. Esto plantea serios desafíos para los defensores, ya que el tiempo medio que tardan las organizaciones en implementar parches es de aproximadamente 20 días, lo que significa que los defensores están expuestos y vulnerables durante demasiado tiempo. Los actores de amenazas están monitorizando las mismas fuentes de avisos que utilizan los defensores y están construyendo exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Es fundamental que las organizaciones reconsideren completamente sus programas de vulnerabilidad para enfrentar esta nueva realidad.
Se aconseja a los usuarios actualizar a la última versión parcheada tan pronto como sea posible, auditar las variables de entorno y secretos en cualquier instancia de Langflow expuesta públicamente, rotar claves y contraseñas de bases de datos como medida de precaución, y monitorizar conexiones salientes.