Уязвимость в платформе Langflow позволяет злоумышленникам писать произвольные файлы на серверах

В последние недели в фокусе кибербезопасности оказалась платформа Langflow — инструмент для визуального создания AI-приложений и агентов, который широко используют команды разработчиков. Эксперты по безопасности зафиксировали активную эксплуатацию критической уязвимости CVE-2026-5027, которая позволяет злоумышленникам записывать произвольные файлы на серверах, где установлена уязвимая версия платформы. Проблема затрагивает функционал загрузки файлов и не требует аутентификации для проведения атаки, что значительно упрощает злоумышленникам задачу по компрометации систем. По данным исследователей, в сети насчитывается около 7 000公開-exposed инстансов Langflow, часть из которых уже используется для тестирования эксплойтов.

Что такое Langflow и почему уязвимость стала критически важной

Langflow — это open-source платформа с визуальным интерфейсом, предназначенная для ускоренной разработки AI-приложений, включая генеративные модели, агенты и системы RAG (Retrieval-Augmented Generation). Вместо написания кода с нуля пользователи собирают рабочие процессы из готовых блоков, что делает инструмент популярным среди команд, которым нужно быстро развернуть прототипы или продуктивные решения. Проект активно развивается: на момент обнаружения уязвимости он насчитывал более 149 000 звёзд и 9 200 форков на GitHub, что свидетельствует о его широком применении в индустрии.

Уязвимость CVE-2026-5027 затрагивает конечную точку /api/v2/files, которая отвечает за загрузку файлов. Исследователи из Tenable выяснили, что параметр filename в multipart-запросах не проходит должной санации, что позволяет злоумышленникам использовать последовательности типа ../ для записи файлов в произвольные директории на сервере. Поскольку по умолчанию в Langflow включён режим автоматического входа без аутентификации, для эксплуатации уязвимости не требуется учётная запись или пароль. Достаточно одного неаутентифицированного запроса, чтобы получить действующий токен сессии и продолжить атаку.

Как происходит эксплуатация и что могут сделать злоумышленники

Согласно отчёту исследовательницы Caitlin Condon, их ханипоты зафиксировали попытки эксплуатации CVE-2026-5027, в ходе которых атакующие записывали тестовые файлы на уязвимые инстансы. Например, в одном из случаев был создан файл в корневой директории системы, что потенциально позволяет злоумышленникам выполнять произвольный код или модифицировать конфигурационные файлы. Учитывая, что Langflow часто используется для развёртывания AI-сервисов, компрометация таких систем может привести к утечке данных, выполнению вредоносного кода или использованию инфраструктуры для дальнейших атак.

Эксперты отмечают, что данная уязвимость не является изолированным случаем. В начале 2026 года уже фиксировались атаки на другие уязвимости Langflow, такие как CVE-2026-0770, CVE-2026-21445 и CVE-2026-33017. Это свидетельствует о том, что платформа стала привлекательной мишенью для злоумышленников, особенно учитывая её популярность и широкое применение в корпоративных средах. Активное сканирование公開-exposed инстансов позволяет атакующим быстро находить потенциальные цели и автоматизировать атаки.

Масштаб угрозы: сколько систем находятся под риском

По данным Censys, в сети насчитывается около 7 000公開-exposed инстансов Langflow. Однако исследователи уточняют, что эти данные включают исторические результаты сканирования за последние 12 месяцев и могут не отражать текущую картину. Тем не менее, даже если часть из этих систем уже обновлена или защищена, оставшиеся уязвимые инстансы представляют серьёзную угрозу. Особую опасность представляют системы, развёрнутые без должной изоляции или в публичных облачных средах, где они доступны из интернета без дополнительных защитных мер.

Уязвимость CVE-2026-5027 особенно актуальна для команд, которые используют Langflow для разработки и тестирования AI-приложений. В таких средах часто отключаются стандартные механизмы аутентификации для упрощения процесса, что делает системы ещё более уязвимыми. Кроме того, AI-сервисы нередко развёртываются с минимальными настройками безопасности, что только увеличивает риск успешной эксплуатации.

Какие версии Langflow уязвимы и как была исправлена проблема

Уязвимость CVE-2026-5027 была обнаружена Tenable в начале 2026 года, после чего исследователи попытались связаться с командой Langflow для уведомления о проблеме. Однако, по данным Tenable, ответ от разработчиков получен не был, что вынудило их опубликовать уведомление о проблеме публично 27 марта 2026 года. Вскоре после этого, 30 марта 2026 года, компания Snyk Security сообщила, что уязвимость была исправлена в пакете langflow-base версии 0.8.3, а также в приложении Langflow версии 1.9.0.

Это означает, что все инстансы, работающие на более ранних версиях, остаются уязвимыми к атакам. Администраторам систем необходимо срочно обновить платформу до актуальных версий, чтобы закрыть уязвимость. Однако, учитывая распространённость Langflow и возможные задержки с обновлением в корпоративных средах, часть систем может оставаться незащищённой ещё долгое время.

Рекомендации для администраторов и разработчиков

Первоочередной мерой защиты является обновление Langflow до последних версий, где уязвимость исправлена. Администраторам следует проверить, какие версии используются в их инфраструктуре, и при необходимости выполнить обновление как можно скорее. Особое внимание стоит уделить системам, развёрнутым в публичных облачных средах или доступных из интернета, так как именно они представляют наибольший интерес для злоумышленников.

Кроме того, рекомендуется отключить функцию автоматического входа без аутентификации, если она используется. Это позволит снизить риск несанкционированного доступа к уязвимым конечным точкам. Также стоит рассмотреть возможность ограничения доступа к API и другим чувствительным интерфейсам, используя сетевые экраны или прокси-серверы. Если полное отключение公開-доступа невозможно, следует реализовать дополнительные механизмы аутентификации и авторизации.

Как проверить, подвержена ли ваша система риску

Администраторы могут использовать несколько методов для проверки уязвимости своих инстансов Langflow. Во-первых, можно отправить тестовый запрос к конечной точке /api/v2/files с параметром filename, содержащим последовательность ../, чтобы проверить, возможна ли запись файла в произвольную директорию. Если система позволяет это сделать, значит, она уязвима и требует немедленного обновления.

Во-вторых, стоит проверить версии используемых компонентов. Если в системе установлен пакет langflow-base версии ниже 0.8.3 или приложение Langflow версии ниже 1.9.0, значит, уязвимость не исправлена. Также можно использовать сканеры уязвимостей, такие как Nessus или OpenVAS, для автоматического поиска проблемных инстансов в сети. Эти инструменты помогут выявить не только CVE-2026-5027, но и другие потенциальные уязвимости в системе.

Последствия эксплуатации и долгосрочные риски

Успешная эксплуатация CVE-2026-5027 может привести к серьёзным последствиям для компаний, использующих Langflow. Во-первых, злоумышленники могут записывать произвольные файлы, включая вредоносные скрипты, конфигурационные файлы или даже исполняемые модули. Это позволяет выполнять произвольный код, красть данные или использовать скомпрометированную систему для дальнейших атак. Во-вторых, компрометация AI-инфраструктуры может привести к утечке конфиденциальных данных, таких как модели машинного обучения, тренировочные наборы или пользовательская информация.

Долгосрочные риски включают репутационные потери для компаний, пострадавших от инцидентов, связанных с утечкой данных или нарушением безопасности. Кроме того, атаки на AI-системы могут привести к финансовым потерям, особенно если речь идёт о продуктивных средах, где downtime или утечка данных могут напрямую повлиять на бизнес-процессы. Также стоит учитывать, что успешная эксплуатация одной уязвимости может открыть дорогу для более сложных атак, таких как цепочки эксплойтов или атаки на смежные системы.

Будущее безопасности AI-платформ: уроки и тренды

Эксплуатация CVE-2026-5027 в Langflow — не единичный случай. В последние годы наблюдается рост атак на инструменты для разработки AI-приложений, что связано с их популярностью и широким применением в индустрии. Это заставляет компании пересматривать подходы к безопасности таких платформ, включая внедрение более строгих механизмов аутентификации, регулярные аудиты безопасности и автоматизированное тестирование на уязвимости.

Для разработчиков AI-платформ важно учитывать безопасность уже на этапе проектирования. Это включает валидацию входных данных, использование безопасных методов загрузки файлов и внедрение механизмов защиты от path traversal атак. Кроме того, регулярное взаимодействие с исследователями безопасности и своевременное реагирование на уведомления о новых уязвимостях помогает снизить риски для пользователей.

Для пользователей таких платформ критически важно следить за обновлениями безопасности и оперативно применять исправления. В условиях растущей угрозы атак на AI-инфраструктуру, только комплексный подход к безопасности позволит минимизировать риски и обеспечить защиту данных.