Найти в Дзене
Герман Геншин
20,2 тыс подписчиков

Критическая Уязвимость Langflow Включена в Список CISA KEV: Не Упустите Шанс!

2 мин
Недавно выявленная критическая уязвимость в платформе с открытым исходным кодом Langflow была занесена в реестр известных эксплуатируемых уязвимостей (KEV) Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) из-за данных о ее активной эксплуатации. Эта уязвимость зарегистрирована под номером CVE-2025-3248 и обладает высоким показателем CVSS — 9.8 из 10. CVE-2025-3248 По сведениям CISA, «Langflow имеет уязвимость из-за отсутствия аутентификации на конечной точке /api/v1/validate/code, что позволяет удаленным злоумышленникам без аутентификации исполнять произвольный код через специально подготовленные HTTP-запросы». Конкретно, было установлено, что эта конечная точка неправильно вызывает встроенную функцию exec() языка Python на пользовательском коде без должной аутентификации или изоляции, что предоставляет злоумышленникам возможность выполнять произвольные команды на сервере. Проблема затрагивает большинство версий популярного инструмента и была исправлена в вер

Недавно выявленная критическая уязвимость в платформе с открытым исходным кодом Langflow была занесена в реестр известных эксплуатируемых уязвимостей (KEV) Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) из-за данных о ее активной эксплуатации.

Эта уязвимость зарегистрирована под номером CVE-2025-3248 и обладает высоким показателем CVSS — 9.8 из 10.

CVE-2025-3248

По сведениям CISA, «Langflow имеет уязвимость из-за отсутствия аутентификации на конечной точке /api/v1/validate/code, что позволяет удаленным злоумышленникам без аутентификации исполнять произвольный код через специально подготовленные HTTP-запросы».

Конкретно, было установлено, что эта конечная точка неправильно вызывает встроенную функцию exec() языка Python на пользовательском коде без должной аутентификации или изоляции, что предоставляет злоумышленникам возможность выполнять произвольные команды на сервере.

Проблема затрагивает большинство версий популярного инструмента и была исправлена в версии 1.3.0, выпущенной 31 марта 2025 года. Компания Horizon3.ai была отмечена за выявление и сообщение об этой уязвимости в феврале.

-2

Компания заявила, что уязвимость «легко эксплуатировать», и она позволяет удаленным злоумышленникам без аутентификации захватывать контроль над серверами Langflow. По состоянию на 9 апреля 2025 года был выпущен публичный прототип эксплуатации (PoC) от других исследователей.

Данные из платформы управления атакующими поверхностями Censys показывают, что в интернете существует 466 экземпляров Langflow, которые находятся под угрозой. Большая их часть сосредоточена в США, Германии, Сингапуре, Индии и Китае.

На данный момент неизвестно, каким образом уязвимость использована в реальных атаках, кто именно ее использует и с какой целью. Федеральные агентства должны успеть установить исправления до 26 мая 2025 года.

«CVE-2025-3248 подчеркивает риски выполнения динамического кода без надлежащей аутентификации и мер изоляции», - отметила компания Zscaler в прошлом месяце. «Эта уязвимость служит важным напоминанием для организаций о необходимости осторожного подхода к функциям валидации кода, особенно в приложениях, доступных в сети».

Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!

Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь

Также подписывайтесь на нас в: