Actualicen o desactiven: la CISA está cansada de advertir a los desarrolladores sobre una vulnerabilidad crítica en Langflow
El parche se lanzó a tiempo, pero para muchos llegó demasiado tarde.
Los ataques a las herramientas para trabajar con inteligencia artificial se están acelerando — y el nuevo incidente con Langflow mostró lo rápido que los atacantes reaccionan ante la publicación de vulnerabilidades. En esta ocasión se trata de un problema crítico que comenzó a usarse literalmente horas después de haberse hecho público.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirtió sobre la explotación activa de la vulnerabilidad CVE-2026-33017 en el entorno Langflow, diseñado para crear agentes de IA. El problema obtuvo una valoración de 9,3 sobre 10 y permite la ejecución remota de código, así como la creación de flujos de trabajo públicos sin ninguna autenticación. La agencia añadió el fallo al catálogo de vulnerabilidades conocidas explotadas y lo describió como una inyección de código.
El equipo de Sysdig registró los primeros ataques ya el 19 de marzo — aproximadamente 20 horas después de la publicación del aviso. En ese momento no existía código público para explotar la vulnerabilidad. Según los especialistas, los atacantes montaron herramientas funcionales directamente a partir de la descripción del problema. Primero comenzó un escaneo automatizado, luego aparecieron scripts en Python para los ataques y, al cabo de un día, los atacantes ya estaban extrayendo datos confidenciales, incluidos archivos .env y bases de datos.
Langflow sigue siendo una herramienta de código abierto popular para la construcción visual de procesos de IA. La plataforma ofrece una interfaz de arrastrar y soltar para crear cadenas de procesamiento de datos y una API para su ejecución. Su amplia difusión entre desarrolladores convirtió el proyecto en un objetivo atractivo.
La vulnerabilidad afecta a las versiones hasta la 1.8.1 inclusive. El ataque es posible mediante una sola solicitud HTTP especialmente formada, ya que la ejecución de los procesos no está aislada. El atacante puede ejecutar código Python arbitrario y obtener control del sistema.
La agencia no relaciona la actividad actual con operadores de ransomware; sin embargo, estableció como fecha límite el 8 de abril para corregir el problema en los sistemas federales. En caso de inacción, se instruyó a las organizaciones a dejar de usar el producto.
Se recomienda a desarrolladores y administradores actualizarse a la versión 1.9.0 o restringir el acceso al componente vulnerable. Además, se aconseja no exponer Langflow directamente en internet, vigilar el tráfico saliente y, ante sospechas, cambiar las claves API, las credenciales de las bases de datos y los secretos en la nube. Estas exigencias se aplican formalmente a las entidades federales de EE. UU., pero también se sugiere que las empresas privadas las tomen como referencia.