Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Langflow đã bị khai thác tích cực chỉ trong vòng 20 giờ kể từ khi công bố công khai, làm nổi bật tốc độ mà các tác nhân đe dọa vũ khí hóa các lỗ hổng mới được phát hành.
Lỗi bảo mật này, được theo dõi là CVE-2026-33017 (điểm CVSS: 9.3), là trường hợp thiếu xác thực kết hợp với code injection có thể dẫn đến remote code execution.
"Endpoint POST /api/v1/build_public_tmp/{flow_id}/flow cho phép xây dựng các flow công khai mà không yêu cầu xác thực," theo khuyến cáo của Langflow về lỗ hổng.
"Khi tham số dữ liệu tùy chọn được cung cấp, endpoint sẽ sử dụng dữ liệu flow do kẻ tấn công kiểm soát (chứa mã Python tùy ý trong định nghĩa node) thay vì dữ liệu flow được lưu trữ từ cơ sở dữ liệu. Mã này được truyền đến exec() mà không có bất kỳ sandboxing nào, dẫn đến remote code execution không cần xác thực."
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của nền tảng trí tuệ nhân tạo (AI) mã nguồn mở trước và bao gồm 1.8.1. Nó hiện đã được khắc phục trong phiên bản phát triển 1.9.0.dev8.
Nhà nghiên cứu bảo mật Aviral Srivastava, người đã phát hiện và báo cáo lỗ hổng vào ngày 26 tháng 2 năm 2026, cho biết nó khác biệt với CVE-2025-3248 (điểm CVSS: 9.8), một lỗi nghiêm trọng khác trong Langflow đã lạm dụng endpoint /api/v1/validate/code để thực thi mã Python tùy ý mà không yêu cầu bất kỳ xác thực nào. Lỗ hổng này cũng đã bị khai thác tích cực, theo Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA).
"CVE-2026-33017 nằm trong /api/v1/build_public_tmp/{flow_id}/flow," Srivastava giải thích, thêm rằng nguyên nhân gốc rễ xuất phát từ việc sử dụng cùng một lệnh gọi exec() như CVE-2025-3248 ở cuối chuỗi.
"Endpoint này được thiết kế không cần xác thực vì nó phục vụ các flow công khai. Bạn không thể chỉ thêm yêu cầu xác thực mà không làm hỏng toàn bộ tính năng flow công khai. Giải pháp thực sự là loại bỏ hoàn toàn tham số dữ liệu khỏi endpoint công khai, để các flow công khai chỉ có thể thực thi dữ liệu flow được lưu trữ (phía máy chủ) của chúng và không bao giờ chấp nhận các định nghĩa do kẻ tấn công cung cấp."
Khai thác thành công có thể cho phép kẻ tấn công gửi một yêu cầu HTTP duy nhất và đạt được quyền thực thi mã tùy ý với đầy đủ đặc quyền của tiến trình máy chủ. Với đặc quyền này, tác nhân đe dọa có thể đọc các environment variables, truy cập hoặc sửa đổi các file để chèn backdoors hoặc xóa dữ liệu nhạy cảm, và thậm chí có được reverse shell.
Srivastava nói với The Hacker News rằng khai thác CVE-2026-33017 là "cực kỳ dễ dàng" và có thể được kích hoạt bằng một lệnh curl đã được vũ khí hóa. Một yêu cầu HTTP POST với mã Python độc hại trong JSON payload là đủ để đạt được remote code execution ngay lập tức, ông nói thêm.
Công ty bảo mật đám mây Sysdig cho biết họ đã quan sát thấy những nỗ lực khai thác đầu tiên nhắm mục tiêu CVE-2026-33017 trong thực tế chỉ trong vòng 20 giờ sau khi khuyến cáo được công bố vào ngày 17 tháng 3 năm 2026.
"Không có mã proof-of-concept (PoC) công khai nào tồn tại vào thời điểm đó," Sysdig cho biết. "Kẻ tấn công đã xây dựng các exploit hoạt động trực tiếp từ mô tả khuyến cáo và bắt đầu quét internet để tìm các instance dễ bị tổn thương. Thông tin bị rò rỉ bao gồm keys và credentials, cung cấp quyền truy cập vào các cơ sở dữ liệu được kết nối và khả năng xâm nhập chuỗi cung ứng phần mềm tiềm năng."
Các tác nhân đe dọa cũng đã được quan sát thấy di chuyển từ quét tự động sang sử dụng các Python scripts tùy chỉnh để trích xuất dữ liệu từ "/etc/passwd" và phân phối một next-stage payload không xác định được lưu trữ trên "173.212.205[.]251:8443." Hoạt động tiếp theo từ cùng một địa chỉ IP cho thấy một hoạt động credential harvesting kỹ lưỡng liên quan đến việc thu thập environment variables, liệt kê configuration files và databases, và trích xuất nội dung của các file .env.
Điều này cho thấy sự lên kế hoạch của tác nhân đe dọa bằng cách dàn dựng phần mềm độc hại để phân phối khi một mục tiêu dễ bị tổn thương được xác định. "Đây là một kẻ tấn công với một bộ công cụ khai thác đã được chuẩn bị di chuyển từ xác thực lỗ hổng sang triển khai payload trong một phiên duy nhất," Sysdig lưu ý. Hiện vẫn chưa rõ ai đứng đằng sau các cuộc tấn công này.
Tăng Tốc Thời Gian Khai Thác: Từ Ngày Sang Giờ
Khoảng thời gian 20 giờ giữa việc công bố khuyến cáo và khai thác đầu tiên phù hợp với một xu hướng tăng tốc đã chứng kiến thời gian trung bình để khai thác (TTE) giảm từ 771 ngày vào năm 2018 xuống chỉ còn vài giờ vào năm 2024.
Theo Báo cáo Cảnh quan Đe dọa Toàn cầu năm 2026 của Rapid7, thời gian trung bình từ khi công bố một lỗ hổng đến khi nó được đưa vào danh mục Known Exploited Vulnerabilities (KEV) của CISA đã giảm từ 8,5 ngày xuống còn 5 ngày trong năm qua.
"Sự nén thời gian này đặt ra những thách thức nghiêm trọng cho các nhà bảo vệ. Thời gian trung bình để các tổ chức triển khai các patches là khoảng 20 ngày, có nghĩa là các nhà bảo vệ bị phơi bày và dễ bị tổn thương quá lâu," báo cáo cho biết thêm. "Các tác nhân đe dọa đang theo dõi cùng một nguồn cấp dữ liệu khuyến cáo mà các nhà bảo vệ sử dụng, và họ đang xây dựng các exploit nhanh hơn hầu hết các tổ chức có thể đánh giá, kiểm tra và triển khai các patches. Các tổ chức phải hoàn toàn xem xét lại các chương trình quản lý lỗ hổng của mình để đáp ứng thực tế."
Người dùng được khuyến nghị cập nhật lên phiên bản đã được vá lỗi mới nhất càng sớm càng tốt, kiểm tra các environment variables và secrets trên bất kỳ instance Langflow nào bị lộ ra công khai, xoay vòng keys và database passwords như một biện pháp phòng ngừa, theo dõi các kết nối đi ra đến các dịch vụ callback bất thường, và hạn chế truy cập mạng vào các instance Langflow bằng cách sử dụng firewall rules hoặc reverse proxy với xác thực.
Hoạt động thăm dò nhắm mục tiêu CVE-2025-3248 và CVE-2026-33017 nhấn mạnh cách các khối lượng công việc AI đang trở thành mục tiêu của kẻ tấn công do chúng có quyền truy cập vào dữ liệu có giá trị, tích hợp trong chuỗi cung ứng phần mềm và các biện pháp bảo mật không đầy đủ.
"CVE-2026-33017 [...] thể hiện một mô hình đang trở thành tiêu chuẩn hơn là ngoại lệ: các lỗ hổng nghiêm trọng trong các công cụ mã nguồn mở phổ biến bị vũ khí hóa chỉ trong vòng vài giờ sau khi công bố, thường là trước khi mã PoC công khai có sẵn," Sysdig kết luận.
