En enda förfrågan räcker – angripare tar full kontroll över Langflow utan autentisering

Ett hål i grunden för AI-byggen

Langflow har blivit ett av de mest använda verktygen för utvecklare som vill sätta ihop AI-tillämpningar snabbt och visuellt, utan att behöva skriva varje kodrad från grunden. Plattformens lågkodsgränssnitt har gjort den populär i allt från startupgemenskapen till större teknikorganisationer. Men popularitet har ett pris – och just nu betalas det i form av aktiva angrepp mot en kritisk säkerhetsbrist.

Säkerhetsforskare vid VulnCheck har identifierat och rapporterat om sårbarheten, som spåras under beteckningen CVE-2026-5027 och tilldelats allvarlighetspoängen 8,8 av 10 på den standardiserade skalan. Det är en poäng som bör tas på största allvar.

Vad bristen faktiskt innebär

Tekniskt sett handlar det om en klassisk sökvägsöverskridning – på engelska kallat path traversal – i hanteringen av filnamnsparametrar i plattformens programmeringsgränssnitt. En angripare kan manipulera dessa parametrar för att skriva filer till godtyckliga platser i det underliggande systemet. I sig är det allvarligt nog, men kombinerat med en annan svaghet blir situationen riktigt illavarslande.

Langflow tillåter nämligen automatisk inloggning utan autentisering som standardinställning. Det innebär i praktiken att vem som helst kan skicka en enda oautentiserad förfrågan, erhålla en giltig sessionsnyckel och sedan rida vidare på sårbarheten för att köra helt godtycklig kod på systemet.

– Bristen möjliggör fjärrkörning av kod, och eftersom Langflow tillåter automatisk inloggning utan autentisering som standardinställning kan angripare nå den sårbara slutpunkten utan några behörigheter, uppger Caitlin Condon, forskningschef på VulnCheck, till SecurityWeek.

Det är en kombination som sällan slutar väl: en sårbarhet för godtycklig kodkörning, kombinerat med ett standardläge som håller dörren öppen för vem som helst.

Angreppen har redan börjat

Det som gör nyheten särskilt brådskande är att detta inte längre är ett teoretiskt hot. Angrepp har redan observerats i verkligheten. I de fall som hittills dokumenterats har angriparna lyckats placera ut testfiler på drabbade system – ett mönster som enligt VulnCheck tyder på att attackerna befinner sig i ett tidigt kartläggningsskede. Med andra ord: angriparna inventerar just nu vilka system som är sårbara, troligtvis inför mer omfattande och målriktade intrång.

Det är ett välbekant mönster inom offensiv säkerhet. Först sonderar man terrängen, sedan slår man till.

AI-verktygens skuggsida

Som systemutvecklare med ett öga på hur AI-infrastruktur byggs och driftsätts ser jag ett återkommande problem i det här: verktyg som Langflow sprids i rasande takt, ofta utan att säkerhetsaspekterna hinner mogna i samma takt. Lågkodslösningar är designade för att sänka tröskeln för att komma igång – och det är genuint bra. Men låg tröskel in i verktyget får inte innebära låg tröskel in i de system där verktyget körs.

Standardinställningen att tillåta automatisk inloggning utan autentisering är ett tydligt exempel på hur användarvänlighet och säkerhet hamnat i otakt. Det är ett designval som förmodligen fattades för att göra det enkelt att testa och komma igång – men som i produktionsmiljöer öppnar upp system på ett sätt som aldrig borde accepteras.

Vad du bör göra nu

Om du eller din organisation använder Langflow är rådet tydligt:

• Uppdatera omedelbart till senaste version där korrigeringen finns på plats.
• Granska standardinställningar kring autentisering – slå aldrig på automatisk inloggning i miljöer som är exponerade mot internet.
• Genomför en logggenomgång för att kontrollera om okända testfiler eller ovanliga anrop förekommit i era system.
• Begränsa nätverksåtkomsten till Langflow-instanser till betrodda nätverk och adresser.

Det finns ingen anledning till panik, men det finns all anledning till skyndsamhet.