Tilkynnt hefur verið um alvarlegan veikleika í Langflow. Veikleikinn gerir árásaraðila kleift að framkvæma fjarkeyrslu kóða á viðkomandi kerfi. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu 1.9.0 eða nýrri þar sem veikleikinn hefur verið lagfærður.

Langflow

Veikleikinn CVE-2026-33017 með CVSSv3 veikleikastig upp á 9.8 hefur áhrif á Langflow útgáfur eldri en 1.9.0. Veikleikinn er í /api/v1/build_public_tmp/{flow_id}/flow endapunktinum og gerir árásaraðila kleift að framkvæma fjarkeyrslu á kóða án auðkenningar. Vitað er til þess að veikleikinn sé þegar í virkri misnotkun. [1,2,3,4]

Tilvísanir

[1] GitHub Security Advisory GHSA-vwmf-pq79-vjvx
[2] https://nvd.nist.gov/vuln/detail/CVE-2026-33017
[3] CISA Known Exploited Vulnerabilities Catalog
[4] Sysdig – CVE-2026-33017 exploited in 20 hours