Attacco in corso sfrutta vulnerabilità critica in Langflow, piattaforma AI usata da migliaia di team

La sicurezza delle piattaforme di sviluppo AI è diventata un fronte critico per le organizzazioni che adottano soluzioni open source per costruire agenti intelligenti, sistemi RAG e flussi di lavoro basati su MCP. Una vulnerabilità di path traversal recentemente scoperta in Langflow, piattaforma visuale molto popolare tra i team AI, sta ora venendo sfruttata attivamente da attaccanti per scrivere file arbitrari su server esposti. La falla, identificata come CVE-2026-5027, permette a un attaccante di bypassare i controlli di sanitizzazione dei nomi dei file e di scrivere contenuti malevoli in qualsiasi posizione del filesystem del server ospitante Langflow, semplicemente inviando una richiesta HTTP opportunamente costruita al punto di estremità vulnerabile.

Secondo le analisi di Tenable, che ha scoperto la vulnerabilità all’inizio del 2026, il problema risiede nell’endpoint POST /api/v2/files, dove il parametro filename nella form multipart non viene validato correttamente. Questo consente l’uso di sequenze di path traversal come "../" per risalire la gerarchia delle directory e depositare file in posizioni sensibili, come directory di sistema o aree accessibili ad altri servizi. La gravità della vulnerabilità è accentuata dal fatto che Langflow, per impostazione predefinita, consente l’accesso non autenticato tramite auto-login, rendendo l’endpoint vulnerabile raggiungibile senza alcuna credenziale. Un singolo richiesta non autenticata può quindi essere sufficiente per ottenere un token di sessione valido e procedere con l’exploit.

Le implicazioni sono immediate e preoccupanti: un attaccante potrebbe scrivere script di avvio persistenti, iniettare codice malevolo in applicazioni esistenti, o persino sostituire file di configurazione critici. I ricercatori di VulnCheck hanno rilevato, tramite honeypot, attacchi in corso che depositano file di test su istanze vulnerabili di Langflow. L’impatto potenziale si estende ben oltre la singola piattaforma, poiché Langflow è spesso integrato in pipeline di sviluppo automatizzate e utilizzato per prototipare rapidamente applicazioni AI che poi vengono messe in produzione.

Come funziona l’exploit e perché è così pericoloso

Il meccanismo di attacco sfrutta una combinazione di due fattori critici: la mancanza di sanitizzazione dei nomi dei file e l’assenza di autenticazione obbligatoria su endpoint sensibili. Quando un utente o un attaccante invia una richiesta POST al percorso /api/v2/files con un filename come "../../../../etc/cron.d/malicious", il server Langflow, non validando correttamente il percorso, scrive effettivamente il file nella directory cron di sistema invece che nella cartella di upload prevista. Questo tipo di path traversal è una tecnica classica negli attacchi server-side, ma la sua efficacia in questo contesto è amplificata dalla natura stessa di Langflow: una piattaforma progettata per essere accessibile e flessibile, spesso esposta su internet per facilitare la collaborazione tra sviluppatori.

L’assenza di autenticazione obbligatoria è un altro elemento chiave. Secondo le rilevazioni di VulnCheck, Langflow consente l’auto-login automatico, il che significa che un attaccante può ottenere un token di sessione valido semplicemente raggiungendo l’endpoint vulnerabile, senza dover fornire credenziali. Questo riduce drasticamente la barriera per l’exploit, permettendo attacchi automatizzati e massivi contro tutte le istanze esposte. I dati raccolti da Censys, sebbene storici, indicano che circa 7.000 istanze di Langflow erano pubblicamente accessibili nei mesi precedenti, un numero che sottolinea la portata potenziale dell’attacco se anche una frazione di queste fosse vulnerabile.

Un ulteriore elemento di rischio è rappresentato dalla diffusione di Langflow tra i team AI. Con oltre 149.000 stelle e 9.200 fork su GitHub, la piattaforma è diventata uno standard de facto per la prototipazione rapida di applicazioni basate su intelligenza artificiale. Molti team la utilizzano per costruire agenti conversazionali, sistemi di retrieval aumentato (RAG) e flussi di lavoro basati su MCP, integrandola direttamente in pipeline di CI/CD. Questo significa che un compromissione iniziale di un’istanza Langflow potrebbe portare a una catena di attacchi che si estende alle applicazioni prodotte, ai dati sensibili e persino ad altri sistemi collegati.

Cronologia della vulnerabilità e risposta della comunità

La vulnerabilità CVE-2026-5027 è stata scoperta da Tenable all’inizio del 2026 e segnalata a Langflow senza ricevere risposta iniziale. Dopo oltre due mesi di silenzio da parte del progetto, Tenable ha deciso di rendere pubblica la scoperta il 27 marzo 2026, un approccio che, pur accelerando la consapevolezza del rischio, ha anche aumentato la finestra di esposizione per gli utenti. La mancanza di una risposta tempestiva da parte del team di sviluppo ha reso necessario un intervento da parte di altri attori della sicurezza.

Il 30 marzo 2026, Snyk Security ha annunciato che il problema era stato risolto nel pacchetto langflow-base versione 0.8.3, mentre la piattaforma Langflow stessa ha ricevuto una patch nella versione 1.9.0. Tuttavia, la tempistica delle correzioni solleva interrogativi sulla gestione delle vulnerabilità in progetti open source ad alta diffusione. La necessità di aggiornare non solo il pacchetto base ma anche l’applicazione principale sottolinea la complessità degli ecosistemi software moderni, dove una singola libreria può avere dipendenze profonde e implicazioni diffuse.

Questa non è la prima volta che Langflow diventa bersaglio di attacchi. Nei primi mesi del 2026, sono state segnalate attività di exploit contro altre vulnerabilità come CVE-2026-0770, CVE-2026-21445 e CVE-2026-33017. Inoltre, già nel 2025, la CISA aveva avvertito della presenza di exploit attivi contro Langflow, evidenziando una tendenza preoccupante: la piattaforma sta attirando l’attenzione di attaccanti che cercano di sfruttare la sua crescente popolarità per compromettere ambienti di sviluppo AI. Questo pattern suggerisce che Langflow potrebbe diventare un nuovo bersaglio privilegiato per attacchi mirati, soprattutto perché sempre più organizzazioni lo integrano nelle proprie infrastrutture di sviluppo.

Chi è a rischio e quali sistemi sono più esposti

Il rischio principale ricade su tutte le organizzazioni che hanno esposto pubblicamente un’istanza di Langflow senza adeguate misure di sicurezza. Secondo le scansioni di Censys, circa 7.000 istanze erano accessibili pubblicamente nei mesi precedenti, ma il numero attuale potrebbe essere inferiore o superiore a seconda delle configurazioni adottate. Le istanze più a rischio sono quelle che:

• non richiedono autenticazione per l’accesso agli endpoint API;
• utilizzano versioni di Langflow precedenti alla 1.9.0;
• sono esposte su internet senza firewall o soluzioni di protezione perimetrale;
• integrano Langflow in pipeline di sviluppo automatizzate che operano con privilegi elevati.

I team di sviluppo AI sono particolarmente esposti perché Langflow viene spesso utilizzato per prototipare applicazioni che poi vengono messe in produzione. Un attaccante che compromette un’istanza Langflow potrebbe iniettare codice malevolo nei flussi di lavoro, rubare credenziali o dati sensibili, o persino utilizzare l’istanza come punto di ingresso per attaccare altri sistemi interni. Inoltre, poiché Langflow supporta MCP (Model Context Protocol), un protocollo per l’integrazione di modelli AI, un compromissione potrebbe estendersi a servizi e applicazioni che dipendono da questi modelli.

Un altro gruppo a rischio è rappresentato dalle piccole e medie imprese che utilizzano Langflow per sviluppare applicazioni AI senza avere risorse dedicate alla sicurezza. Molti team, soprattutto in startup e organizzazioni non tecnologiche, potrebbero non essere consapevoli della vulnerabilità o potrebbero ritardare l’aggiornamento a causa di dipendenze complesse. La mancanza di una cultura della sicurezza proattiva in questi contesti aumenta il rischio di exploit di successo.

Come verificare e mitigare il rischio

La prima azione da intraprendere è verificare se la propria istanza di Langflow è vulnerabile. Gli amministratori possono controllare la versione installata confrontandola con la 1.9.0, la patch ufficiale che risolve CVE-2026-5027. Se si utilizza una versione precedente, è fondamentale pianificare un aggiornamento urgente. Tuttavia, l’aggiornamento potrebbe non essere sufficiente se l’istanza è già stata compromessa. In tal caso, è consigliabile:

• eseguire una scansione completa del filesystem per identificare file sospetti, in particolare nella directory di upload e nelle aree di sistema;
• revocare e rigenerare tutte le chiavi API e le credenziali che potrebbero essere state esposte;
• controllare i log di accesso per rilevare attività sospette, come richieste non autorizzate all’endpoint /api/v2/files.

Dal punto di vista della configurazione, è essenziale disabilitare l’auto-login automatico e implementare l’autenticazione forte per tutti gli endpoint API. Inoltre, le istanze di Langflow non dovrebbero mai essere esposte pubblicamente su internet senza una protezione adeguata. L’uso di VPN, firewall o soluzioni di zero trust può ridurre significativamente la superficie di attacco. Se l’accesso pubblico è necessario, è consigliabile utilizzare un reverse proxy con autenticazione e limitazione del traffico in base all’indirizzo IP.

Per i team che utilizzano Langflow in ambienti di sviluppo interni, è importante isolare l’istanza in una rete privata e applicare il principio del privilegio minimo. Langflow dovrebbe operare con un account utente dedicato, con accesso limitato solo alle risorse strettamente necessarie. Inoltre, è utile implementare soluzioni di rilevamento delle intrusioni (IDS) e monitorare costantemente il traffico in entrata e in uscita per identificare attività anomale.

Impatto sugli ecosistemi AI e implicazioni future

L’exploit di CVE-2026-5027 rappresenta un campanello d’allarme per l’intero ecosistema delle piattaforme di sviluppo AI. Langflow non è l’unica soluzione open source di questo tipo, ma la sua popolarità lo rende un bersaglio privilegiato per gli attaccanti. Questo episodio evidenzia una tendenza più ampia: con la crescente adozione di strumenti AI da parte delle organizzazioni, anche i progetti open source diventano obiettivi strategici per attacchi mirati.

Le implicazioni vanno oltre il singolo exploit. Un compromissione di una piattaforma di sviluppo AI potrebbe portare alla distribuzione di applicazioni AI malevole, che a loro volta potrebbero essere utilizzate per phishing, frodi o attacchi su larga scala. Inoltre, la fiducia degli utenti nei confronti delle piattaforme open source potrebbe subire un duro colpo se emergeranno ulteriori vulnerabilità non risolte tempestivamente. Questo potrebbe spingere le organizzazioni a preferire soluzioni proprietarie, con conseguente riduzione della trasparenza e dell’innovazione aperta.

Un altro aspetto critico riguarda la catena di fornitura del software. Langflow, come molte piattaforme AI moderne, dipende da numerose librerie e framework esterni. Una vulnerabilità in una di queste dipendenze potrebbe avere effetti a cascata su tutte le applicazioni che le utilizzano. Gli sviluppatori devono quindi prestare maggiore attenzione alla gestione delle dipendenze e implementare pratiche di sicurezza come la scansione automatica delle vulnerabilità e l’aggiornamento regolare dei componenti.

Cosa monitorare nei prossimi mesi

Nei prossimi mesi, è probabile che assisteremo a un aumento degli attacchi contro piattaforme di sviluppo AI, man mano che gli attaccanti perfezionano le tecniche di exploit e cercano nuovi bersagli. Gli amministratori di sistema dovrebbero monitorare da vicino gli annunci di sicurezza di Langflow e degli altri progetti open source che utilizzano, per essere pronti ad applicare patch tempestivamente. Inoltre, è consigliabile implementare soluzioni di threat intelligence per rilevare attività sospette legate a CVE-2026-5027 e ad altre vulnerabilità simili.

Un altro elemento da monitorare è l’evoluzione delle tecniche di attacco. Gli attaccanti potrebbero iniziare a combinare CVE-2026-5027 con altre vulnerabilità, come quelle recentemente segnalate in altre piattaforme AI, per creare exploit più sofisticati e persistenti. Ad esempio, un attaccante potrebbe sfruttare la path traversal per scrivere uno script di avvio che poi sfrutta una vulnerabilità di esecuzione di codice remoto (RCE) per ottenere il controllo completo del server.

Infine, è importante osservare le reazioni della comunità open source. Se la risposta di Langflow alla vulnerabilità sarà considerata insufficiente, potremmo assistere a fork della piattaforma con focus sulla sicurezza, oppure a una maggiore adozione di alternative più mature. Questo potrebbe avere effetti a lungo termine sull’evoluzione delle piattaforme di sviluppo AI, spingendo verso soluzioni più sicure e affidabili.

Conclusione

L’exploit attivo di CVE-2026-5027 in Langflow rappresenta un promemoria urgente della necessità di una sicurezza proattiva, soprattutto in un contesto in cui le piattaforme di sviluppo AI stanno diventando sempre più centrali per le organizzazioni. La combinazione di path traversal non sanificato e auto-login automatico ha creato una vulnerabilità ad alto impatto, che può essere sfruttata con relativa facilità per compromettere interi ambienti di sviluppo. Gli amministratori devono agire rapidamente per aggiornare le istanze, implementare controlli di sicurezza aggiuntivi e monitorare attentamente le attività sospette.

Per i team di sviluppo AI, questo episodio sottolinea l’importanza di integrare la sicurezza fin dalle fasi iniziali del ciclo di vita del software. L’adozione di pratiche come la revisione del codice, la scansione delle vulnerabilità e l’aggiornamento regolare delle dipendenze può ridurre significativamente il rischio di exploit di successo. Allo stesso tempo, la comunità open source deve affrontare la sfida di garantire una risposta tempestiva alle vulnerabilità, soprattutto per progetti ad alta diffusione che hanno un impatto su migliaia di organizzazioni in tutto il mondo. Solo attraverso una collaborazione stretta tra sviluppatori, ricercatori di sicurezza e utenti finali sarà possibile mitigare i rischi e garantire un futuro sicuro per le piattaforme di sviluppo AI.