Una falla de seguridad crítica que afecta a Langflow ha sido explotada activamente dentro de las 20 horas posteriores a la divulgación pública, lo que destaca la velocidad a la que los actores de amenazas utilizan como arma las vulnerabilidades recientemente publicadas.
El defecto de seguridad, rastreado como CVE-2026-33017 (Puntuación CVSS: 9,3), es un caso de falta de autenticación combinada con inyección de código que podría resultar en la ejecución remota de código.
«El punto final POST /api/v1/build_public_tmp/{flow_id}/flow permite crear flujos públicos sin requerir autenticación», según el aviso de Langflow sobre la falla.
«Cuando se proporciona el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin espacio aislado, lo que resulta en una ejecución remota de código no autenticado».
La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia artificial (IA) de código abierto anteriores a la 1.8.1 incluida. Actualmente se ha solucionado en la versión de desarrollo 1.9.0.dev8.
El investigador de seguridad Aviral Srivastava, quien descubrió e informó la falla el 26 de febrero de 2026, dijo que es distinta de CVE-2025-3248 (puntaje CVSS: 9.8), otro error crítico en Langflow que abusaba del punto final /api/v1/validate/code para ejecutar código Python arbitrario sin requerir ninguna autenticación. Desde entonces, ha sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
«CVE-2026-33017 está en /api/v1/build_public_tmp/{flow_id}/flow», explicó Srivastava, añadiendo que la causa raíz surge del uso de la misma llamada exec() que CVE-2025-3248 al final de la cadena.
«Este punto final está diseñado para no estar autenticado porque sirve flujos públicos. No se puede simplemente agregar un requisito de autenticación sin romper toda la característica de flujos públicos. La verdadera solución es eliminar por completo el parámetro de datos del punto final público, de modo que los flujos públicos solo puedan ejecutar sus datos de flujo almacenados (del lado del servidor) y nunca aceptar definiciones proporcionadas por el atacante».
Una explotación exitosa podría permitir a un atacante enviar una única solicitud HTTP y obtener la ejecución de código arbitrario con todos los privilegios del proceso del servidor. Con este privilegio implementado, el actor de amenazas puede leer variables de entorno, acceder o modificar archivos para inyectar puertas traseras o borrar datos confidenciales, e incluso obtener un shell inverso.
Srivastava dijo a The Hacker News que explotar CVE-2026-33017 es «extremadamente fácil» y puede activarse mediante un comando curl armado. Una solicitud HTTP POST con código Python malicioso en la carga útil JSON es suficiente para lograr la ejecución remota inmediata del código, añadió.
La empresa de seguridad en la nube Sysdig dijo que observó los primeros intentos de explotación dirigidos a CVE-2026-33017 en estado salvaje dentro de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026.
«En ese momento no existía ningún código de prueba de concepto (PoC) público», dijo Sysdig. «Los atacantes crearon exploits funcionales directamente a partir de la descripción del aviso y comenzaron a escanear Internet en busca de instancias vulnerables. La información filtrada incluía claves y credenciales, que proporcionaban acceso a bases de datos conectadas y un posible compromiso de la cadena de suministro de software».
También se ha observado que los actores de amenazas pasan del escaneo automatizado al aprovechamiento de secuencias de comandos Python personalizadas para extraer datos de «/etc/passwd» y entregar una carga útil de siguiente etapa no especificada alojada en «173.212.205(.)251:8443». La actividad posterior desde la misma dirección IP apunta a una operación exhaustiva de recolección de credenciales que implica recopilar variables de entorno, enumerar archivos de configuración y bases de datos y extraer el contenido de los archivos .env.
Esto sugiere una planificación por parte del actor de la amenaza preparando el malware para que se entregue una vez que se identifique un objetivo vulnerable. «Este es un atacante con un conjunto de herramientas de explotación preparado que pasa de la validación de vulnerabilidades al despliegue de carga útil en una sola sesión», señaló Sysdig. Por el momento se desconoce quién está detrás de los ataques.
La ventana de 20 horas entre la publicación del aviso y la primera explotación se alinea con una tendencia acelerada que ha visto el tiempo medio de explotación (TTE) reducirse de 771 días en 2018 a solo horas en 2024.
Según el Informe sobre el panorama de amenazas globales de 2026 de Rapid7, el tiempo medio desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA se redujo de 8,5 días a cinco días durante el año pasado.
«Esta compresión del cronograma plantea serios desafíos para los defensores. El tiempo promedio para que las organizaciones implementen parches es de aproximadamente 20 días, lo que significa que los defensores están expuestos y vulnerables durante demasiado tiempo», agregó. «Los actores de amenazas están monitoreando las mismas fuentes de asesoramiento que usan los defensores y están creando exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Las organizaciones deben reconsiderar completamente sus programas de vulnerabilidad para adaptarse a la realidad».
Se recomienda a los usuarios que actualicen a la última versión parcheada lo antes posible, auditen las variables de entorno y los secretos en cualquier instancia de Langflow expuesta públicamente, roten claves y contraseñas de bases de datos como medida de precaución, monitoreen las conexiones salientes a servicios de devolución de llamadas inusuales y restrinjan el acceso a la red a las instancias de Langflow mediante reglas de firewall o un proxy inverso con autenticación.
La actividad de exploración dirigida a CVE-2025-3248 y CVE-2026-33017 subraya cómo las cargas de trabajo de IA están aterrizando en el punto de mira de los atacantes debido a su acceso a datos valiosos, su integración dentro de la cadena de suministro de software y sus insuficientes salvaguardias de seguridad.
«CVE-2026-33017 (…) demuestra un patrón que se está convirtiendo en la norma más que en la excepción: las vulnerabilidades críticas en herramientas populares de código abierto se convierten en armas a las pocas horas de su divulgación, a menudo antes de que el código PoC público esté disponible», concluyó Sysdig.