MAG-INFO-TECH.com — Digital news in real time
AI Trading
साइबर सिक्योरिटी और प्राइवेसी

Langflow में खतरनाक कमज़ोरी: AI प्लेटफ़ॉर्म पर फ़ाइल राइटिंग हमले बढ़े

द्वारा Mag-Info Tech editorial · 2026-06-11

Langflow में खतरनाक कमज़ोरी: AI प्लेटफ़ॉर्म पर फ़ाइल राइटिंग हमले बढ़े

AI प्लेटफ़ॉर्म की दुनिया में एक बड़ा खतरा सामने आया है। Langflow नाम का लोकप्रिय ओपन-सोर्स टूल, जिसका इस्तेमाल AI एप्लिकेशन, एजेंट और RAG सिस्टम बनाने में किया जाता है, में एक गंभीर सुरक्षा कमज़ोरी मिली है। CVE-2026-5027 नाम की यह खामी हैकर्स को सर्वर पर मनमाने फ़ाइल लिखने की अनुमति दे रही है। इसका मतलब है कि अगर आपका Langflow सर्वर इंटरनेट से जुड़ा हुआ है, तो कोई बाहरी हमलावर आपके सिस्टम पर नियंत्रण कर सकता है। यह कोई काल्पनिक खतरा नहीं है—असल में हमलावर सक्रिय रूप से इसका फायदा उठा रहे हैं।

AI डेवलपर्स के बीच लोकप्रिय प्लेटफ़ॉर्म पर हमला

Langflow एक ऐसा प्लेटफ़ॉर्म है जो AI एप्लिकेशन बनाने के लिए विज़ुअल इंटरफ़ेस उपलब्ध कराता है। इसमें ड्रैग-एंड-ड्रॉप तरीके से AI वर्कफ़्लो बनाए जा सकते हैं, बिना पारंपरिक कोडिंग के। यह प्लेटफ़ॉर्म खासकर उन टीमों के लिए उपयोगी है जो जल्दी से AI सिस्टम तैयार करना चाहती हैं। GitHub पर इस प्रोजेक्ट को अब तक 1.49 लाख से ज़्यादा स्टार और 9,200 से ज़्यादा फोर्क मिल चुके हैं, जिससे पता चलता है कि यह कितना लोकप्रिय है। इतनी बड़ी संख्या में उपयोगकर्ताओं के कारण, इस प्लेटफ़ॉर्म में कोई भी कमज़ोरी बहुत गंभीर साबित हो सकती है। CVE-2026-5027 इसी तरह की एक कमज़ोरी है, जो फाइल अपलोड फंक्शनैलिटी में मौजूद है।

कैसे काम करता है यह कमज़ोरी?

CVE-2026-5027 एक पाथ ट्रैवर्सल (path traversal) कमज़ोरी है, जो Langflow के फाइल अपलोड एंडपॉइंट में मौजूद है। जब कोई उपयोगकर्ता फाइल अपलोड करता है, तो सिस्टम को यह सुनिश्चित करना चाहिए कि अपलोड की जा रही फाइल सुरक्षित लोकेशन पर सेव हो। लेकिन इस कमज़ोरी के कारण, हैकर्स विशेष रूप से तैयार किए गए फाइल नामों का इस्तेमाल कर सकते हैं, जिनमें "../" जैसे पाथ ट्रैवर्सल सीक्वेंस शामिल होते हैं। इससे वे सिस्टम के किसी भी लोकेशन पर फाइल लिख सकते हैं। उदाहरण के लिए, अगर कोई हैकर "../malicious.sh" नाम की फाइल अपलोड करता है, तो यह सिस्टम के रूट डायरेक्टरी में सेव हो सकती है, जिससे पूरे सर्वर पर नियंत्रण संभव हो जाता है।

हैकर्स बिना लॉगिन के हमला कर रहे हैं

इस कमज़ोरी की सबसे खतरनाक बात यह है कि हैकर्स को इसके लिए किसी लॉगिन क्रेडेंशियल की ज़रूरत नहीं है। Tenable की रिपोर्ट के अनुसार, Langflow में "अनऑथेंटिकेटेड ऑटो-लॉगिन" फीचर डिफ़ॉल्ट रूप से चालू रहता है। इसका मतलब है कि अगर कोई उपयोगकर्ता पहली बार किसी सर्वर से कनेक्ट होता है, तो उसे लॉगिन करने की ज़रूरत नहीं होती—सिस्टम अपने आप एक सेशन टोकन जनरेट कर देता है। इस तरह, हैकर्स बिना किसी प्रमाणीकरण के सीधे कमज़ोर एंडपॉइंट तक पहुंच सकते हैं और हमला शुरू कर सकते हैं।

developer typing code laptop

कितने सर्वर हैं जोखिम में?

Censys नाम की सिक्योरिटी फर्म के अनुसार, लगभग 7,000 Langflow इंस्टेंस इंटरनेट पर सार्वजनिक रूप से उपलब्ध हैं। हालांकि, यह आंकड़ा पिछले 12 महीनों के स्कैन परिणामों पर आधारित है, इसलिए यह सुनिश्चित नहीं है कि अभी भी इतने ही सर्वर जोखिम में हैं। फिर भी, इतनी बड़ी संख्या में सार्वजनिक सर्वरों का मतलब है कि संभावित हमलों का दायरा बहुत बड़ा है। VulnCheck की सिक्योरिटी रिसर्चर Caitlin Condon ने बताया है कि उनके हनीपोट्स पर ऐसे हमलों का पता चल रहा है, जहां हैकर्स कमज़ोर सर्वरों पर टेस्ट फाइलें छोड़ रहे हैं।

Ad
MEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade resultMEFAI trade result
ट्रेडिंग एक जुआ नहीं है। जुआ खेलना बंद करें।

MEFAI के AI से वास्तविक परिणाम प्राप्त करें। Pro प्लान पर $50 की छूट पाएं।

Pro पर $50 की छूट का दावा करें

प्रायोजित · पिछला प्रदर्शन भविष्य के परिणामों का संकेत नहीं है। यह वित्तीय सलाह नहीं है।

पहले भी रही हैं Langflow में कमज़ोरियां

यह पहली बार नहीं है जब Langflow में ऐसी सुरक्षा कमज़ोरियां सामने आई हैं। इसी साल की शुरुआत में CVE-2026-0770, CVE-2026-21445 और CVE-2026-33017 जैसी कमज़ोरियों का फायदा उठाकर हमलावरों ने हमले किए थे। इसके अलावा, अमेरिकी साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (CISA) ने पिछले साल भी CVE-2025 से जुड़े सक्रिय हमलों के बारे में चेतावनी दी थी। इससे पता चलता है कि AI प्लेटफ़ॉर्म की सुरक्षा को लेकर गंभीर चिंताएं हैं और हैकर्स इन कमज़ोरियों का लगातार फायदा उठा रहे हैं।

server room data center

क्या किया गया है और क्या करना बाकी है?

Tenable ने जनवरी की शुरुआत में इस कमज़ोरी की रिपोर्ट Langflow टीम को भेजी थी, लेकिन टीम की तरफ से कोई प्रतिक्रिया नहीं मिलने के बाद, Tenable ने 27 मार्च 2026 को इस कमज़ोरी को सार्वजनिक रूप से उजागर कर दिया। हालांकि, Snyk Security ने 30 मार्च 2026 को बताया कि इस समस्या को langflow-base पैकेज के वर्शन 0.8.3 और Langflow एप्लिकेशन के वर्शन 1.9.0 में ठीक कर दिया गया है। इसका मतलब है कि अगर आपने अपने सिस्टम को अपडेट कर लिया है, तो आप सुरक्षित हो सकते हैं। लेकिन अगर आप अब भी पुराने वर्शन का इस्तेमाल कर रहे हैं, तो आपको तुरंत अपडेट करना चाहिए।

खुद को कैसे बचाएं?

अगर आप Langflow का इस्तेमाल कर रहे हैं, तो सबसे पहला कदम है अपने सिस्टम को नवीनतम वर्शन में अपडेट करना। सुनिश्चित करें कि आप langflow-base पैकेज के वर्शन 0.8.3 या उससे ऊपर और Langflow एप्लिकेशन के वर्शन 1.9.0 या उससे ऊपर का इस्तेमाल कर रहे हैं। अगर आप अपने सर्वर को इंटरनेट से एक्सेस करने की अनुमति दे रहे हैं, तो सुनिश्चित करें कि आपकी फायरवॉल और नेटवर्क सुरक्षा पर्याप्त है। इसके अलावा, अनऑथेंटिकेटेड ऑटो-लॉगिन फीचर को डisable कर देना चाहिए, ताकि बिना लॉगिन के किसी को भी आपके सिस्टम तक पहुंच न मिल सके।

आगे क्या देखना चाहिए?

AI प्लेटफ़ॉर्म की सुरक्षा को लेकर यह कोई पहला मामला नहीं है। जैसे-जैसे AI टेक्नोलॉजी का इस्तेमाल बढ़ता जा रहा है, वैसे-वैसे ऐसे प्लेटफ़ॉर्मों में सुरक्षा कमज़ोरियां भी सामने आती रहेंगी। अगर आप AI एप्लिकेशन डेवलप कर रहे हैं, तो हमेशा नए अपडेट और सुरक्षा सलाह पर नज़र रखें। इसके अलावा, अपने सिस्टम की नियमित सुरक्षा ऑडिट करवाते रहें और किसी भी असामान्य गतिविधि पर तुरंत कार्रवाई करें। AI प्लेटफ़ॉर्म की सुरक्षा सिर्फ़ डेवलपर्स की ज़िम्मेदारी नहीं है—उपयोगकर्ताओं को भी सतर्क रहना होगा।

cyber security padlock

AI टेक्नोलॉजी के क्षेत्र में आगे बढ़ने के साथ-साथ सुरक्षा को लेकर सतर्कता बहुत ज़रूरी है। Langflow में मिली इस कमज़ोरी ने एक बार फिर साबित कर दिया है कि कोई भी प्लेटफ़ॉर्म पूरी तरह सुरक्षित नहीं है। इसलिए, अगर आप AI एप्लिकेशन बनाने में Langflow का इस्तेमाल कर रहे हैं, तो तुरंत अपने सिस्टम को अपडेट करें और सुरक्षा के सभी उपाय अपनाएं। ऐसा न करने पर, आपका सिस्टम हैकर्स के लिए आसान शिकार बन सकता है।

इसमें और देखें साइबर सिक्योरिटी और प्राइवेसी

रेडियम पर हुआ 134 करोड़ रुपये का बड़ा हैक, जानिए क्या हुआ और आगे क्या सावधानियां बरतें
Cybersecurity & Privacy

रेडियम पर हुआ 134 करोड़ रुपये का बड़ा हैक, जानिए क्या हुआ और आगे क्या सावधानियां बरतें

Solana के विकेन्द्रीकृत एक्सचेंज रेडियम पर हुए 1.34 मिलियन डॉलर के हैक से पता चला कि पुराने लिक्विडिटी पूल आज भी जोखिम पैदा कर सकते हैं। जानिए पूरा मामला, तकनीकी खामी और भविष्य के लिए सुरक्षा सुझाव।

2026-06-11Read →
ऑरेकल पीपलसॉफ्ट सर्वरों पर ShinyHunters का हमला: 300 से ज्यादा संस्थानों का डेटा चोरी
Cybersecurity & Privacy

ऑरेकल पीपलसॉफ्ट सर्वरों पर ShinyHunters का हमला: 300 से ज्यादा संस्थानों का डेटा चोरी

ऑरेकल पीपलसॉफ्ट सर्वरों पर ShinyHunters साइबर अपराधियों ने बड़े पैमाने पर हमले किए हैं, जिसमें 300 से ज्यादा संस्थानों का डेटा चुराया गया है। जानिए क्या हुआ, कैसे हुआ और अपने संगठन को कैसे बचाएं।

2026-06-11Read →
2026 का सबसे अच्छा पासवर्ड मैनेजर: सुरक्षित पहचान प्रबंधन के लिए शीर्ष उपकरणों की पूरी गाइड
Cybersecurity & Privacy

2026 का सबसे अच्छा पासवर्ड मैनेजर: सुरक्षित पहचान प्रबंधन के लिए शीर्ष उपकरणों की पूरी गाइड

पासवर्ड मैनेजर चुनने से पहले जानें अपनी जरूरतें, सुरक्षा स्तर, प्लेटफार्म सपोर्ट और एक्स्ट्रा फीचर्स। यहां 2026 के शीर्ष 8 टूल्स की तुलना, फायदे-नुकसान और सही चुनाव के लिए गाइड।

2026-06-10Read →