Falha Crítica no Langflow Exige Correção Imediata por Risco de Execução Remota de Código

Alerta de Segurança: Vulnerabilidade Grave no Langflow

Uma vulnerabilidade crítica de execução remota de código (RCE), identificada como CVE-2025-3248, foi descoberta no Langflow, uma popular plataforma de código aberto para desenvolvimento visual de aplicações de Inteligência Artificial (IA). A falha, que possui uma pontuação CVSS de 9.8 (indicando severidade crítica), permite que invasores executem comandos arbitrários no servidor onde o Langflow está hospedado, representando um risco significativo para as organizações que utilizam a ferramenta em seus fluxos de trabalho de desenvolvimento de IA.

Detalhes da Vulnerabilidade do Langflow

A vulnerabilidade reside especificamente no endpoint /api/v1/validate/code da plataforma. Este endpoint utiliza a função embutida exec() do Python para validar o código fornecido pelo usuário, porém, em versões anteriores à 1.3.0, o fazia sem a devida autenticação ou mecanismos de sandboxing. Isso abre uma brecha para que invasores explorem a API, enviando código malicioso que será executado no servidor. O problema principal decorre do comportamento do Python durante a definição de funções, onde decoradores e valores padrão de argumentos são avaliados imediatamente. Código malicioso embutido nessas áreas é executado durante o processamento da Árvore de Sintaxe Abstrata (AST), permitindo a execução não autenticada.

Pesquisadores de segurança demonstraram que é possível explorar essa falha para realizar diversas ações maliciosas, como escrever arquivos no servidor (potencialmente implantando um web shell para acesso remoto), exfiltrar dados sensíveis (chaves de API, credenciais de banco de dados, tokens de CI/CD) e até mesmo implantar malware como cryptominers. Mesmo instâncias do Langflow em máquinas virtuais de desenvolvimento isoladas podem servir como um ponto de partida para ataques mais amplos à rede corporativa.

O que é o Langflow?

O Langflow é uma ferramenta low-code projetada para facilitar a criação de aplicações de IA, incluindo aquelas baseadas em agentes e RAG (Retrieval-Augmented Generation). Desenvolvido em Python, ele permite que desenvolvedores construam visualmente fluxos de trabalho complexos, conectando diferentes componentes como modelos de linguagem (LLMs), bancos de dados vetoriais e APIs externas. Sua flexibilidade e interface intuitiva o tornaram popular entre desenvolvedores de IA, contando com uma comunidade crescente no GitHub.

Impacto da Vulnerabilidade e Riscos na Cadeia de Suprimentos de IA

A exploração bem-sucedida desta vulnerabilidade no Langflow pode ter consequências graves. Além do comprometimento direto do servidor, há um risco sistêmico para a cadeia de suprimentos de IA. Instâncias comprometidas do Langflow podem ser usadas para injetar prompts maliciosos ou exfiltrar entradas de usuários, afetando todos os serviços e aplicações que dependem desses fluxos de IA. Isso transforma um único ponto de falha em um amplificador silencioso de caos, minando a integridade de qualquer aplicação construída sobre uma instância comprometida do Langflow.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a CVE-2025-3248 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), destacando a exploração ativa da falha por invasores.

Versões Afetadas e Recomendações

Todas as versões do Langflow anteriores à 1.3.0 são suscetíveis a essa vulnerabilidade de injeção de código. A recomendação imediata para todos os usuários é atualizar para o Langflow 1.3.0 ou posterior. Nesta versão, o endpoint vulnerável /api/v1/validate/code passou a exigir autenticação, mitigando o risco de exploração não autenticada. No entanto, alguns pesquisadores apontam que a falha não foi completamente eliminada e ainda poderia ser explorada para escalar privilégios de um usuário regular para superusuário do Langflow, embora essa escalada já fosse possível por outros meios.

Medidas Adicionais de Segurança para o Langflow

Além da atualização, as seguintes medidas são recomendadas:

• Restringir o Acesso: Limitar a exposição da instância do Langflow, preferencialmente não a expondo diretamente à internet. Utilizar arquiteturas ZTNA (Zero Trust Network Access), como o Zscaler Private Access™ (ZPA) com AppProtection, pode ajudar a controlar o acesso.
• Implementar Sandboxing de Entrada: Se a validação de código customizada for necessária, evitar o uso da função exec() com código não confiável ou empregar mecanismos robustos de sandboxing.
• Monitorar e Alertar: Implementar sistemas de detecção para identificar requisições anormais aos endpoints de validação e conexões de saída inesperadas do servidor Langflow.

Path Traversal: Um Risco Relacionado

Embora a vulnerabilidade principal discutida seja uma RCE, é importante mencionar o conceito de Path Traversal (também conhecido como Directory Traversal). Esse tipo de ataque visa acessar arquivos e diretórios armazenados fora da pasta raiz da web, manipulando variáveis que referenciam arquivos com sequências como "../" (dot-dot-slash). Embora não seja o mecanismo direto da CVE-2025-3248, a capacidade de escrever arquivos no servidor através da RCE poderia, em cenários subsequentes, facilitar ataques de Path Traversal ou ser combinada com eles para agravar o comprometimento do sistema. Ataques de Path Traversal podem expor código-fonte, arquivos de configuração e outros dados críticos do sistema.

Conclusão sobre a Vulnerabilidade do Langflow

A vulnerabilidade CVE-2025-3248 no Langflow é uma ameaça séria que requer atenção imediata. A combinação de sua criticidade, a popularidade da ferramenta e a exploração ativa por invasores a tornam um risco significativo. As organizações que utilizam o Langflow devem priorizar a atualização para a versão mais recente e implementar as medidas de segurança adicionais recomendadas para proteger seus sistemas e a integridade de suas aplicações de IA.