// 2 ZERO-DAY · 4 CVE · 4 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Un IDOR nel endpoint /api/v1/responses di Langflow consente il furto di credenziali LLM e cloud da flow altrui. CISA ha ordinato il patching entro il 10 luglio 2026.

Il 7 luglio 2026 CISA ha inserito CVE-2026-55255 nel catalogo KEV e imposto alle agenzie federali una deadline di tre giorni, il 10 luglio, per applicare la correzione. La vulnerabilità, un insecure direct object reference nel endpoint /api/v1/responses di Langflow, permette a un attaccante autenticato di eseguire flow di altri utenti e estrarre credenziali incorporate: API key di modelli linguistici, chiavi di servizi cloud e altri segreti embedded nei nodi visivi delle workflow AI.

La Sysdig Threat Research Team ha osservato exploitation in-the-wild dal 25 giugno, documentando un attore che iniettava prompt "leak api keys" nei flow dirottati per ottenere credenziali di vittime ignare. L'attacco sfrutta una falla di autorizzazione, non di esecuzione remota, ma il suo impatto si amplifica drasticamente in ambienti multi-tenant dove l'IDOR attraversa i confini tra tenant.

Punti chiave
  • CVE-2026-55255 è un IDOR nel endpoint /api/v1/responses che consente esecuzione arbitraria di flow altrui specificando il flow_id della vittima
  • Sysdig ha rilevato exploitation attiva dal 25 giugno 2026 con iniezione di prompt per estrarre credenziali incorporate nei nodi dei flow
  • In ambienti multi-tenant/SaaS la vulnerabilità attraversa i boundary di isolamento tra tenant, a differenza del RCE CVE-2026-33017 che resta confinato nel sandbox del singolo tenant
  • CISA ha imposto alle agenzie federali il patching entro il 10 luglio 2026 tramite BOD 26-04, con solo tre giorni di margine dall'inserimento nel KEV

Come funziona l'IDOR nel cuore delle workflow AI

Langflow è una piattaforma open-source per la costruzione visiva di flussi di lavoro agentic: l'utente collega nodi che rappresentano LLM, database, API esterne e strumenti di elaborazione. Nelle configurazioni tipiche, questi nodi incorporano credenziali direttamente nei parametri: una chiave API OpenAI, una stringa di connessione AWS, un token di servizio.

Secondo il record NVD per CVE-2026-55255, il endpoint /api/v1/responses non verifica che l'utente che richiede l'esecuzione sia il proprietario del flow_id specificato. Un attaccante con qualsiasi account valido può fornire l'identificatore di un flow altrui e ottenere l'esecuzione completa con i privilegi e le credenziali della vittima.

La Sysdig Threat Research Team ha descritto questo meccanismo come il "riding the platform's own 'blessed' execution path": l'attaccante non viola il sandbox, ma lo attraversa legittimamente, sfruttando il percorso di esecuzione autorizzato dalla piattaforma stessa. Su istanze self-hosted l'impatto è limitato alla singola installazione; in deployment SaaS multi-tenant il confine tra clienti crolla a livello applicativo.

L'attore in-the-wild: opportunismo, non geopolitica

Le osservazioni di Sysdig delineano un attore pragmatico e orientato al profitto. Come riportato da BleepingComputer secondo l'analisi Sysdig: "From what we observed, it's clear that the threat actor is opportunistic and financially motivated... motive was money via the two reliable yields of a compromised AI host: its compute (botnet/implant) and its credentials (LLM/cloud keys)".

Nella stessa settimana, sulle stesse istanze, l'operatore ha combinato CVE-2026-55255 con CVE-2026-33017, una vulnerabilità di remote code execution con CVSS 9.8. Sysdig ha notato una gerarchia di sforzo: "The operator poured sustained effort into [CVE-2026-33017] and treated [CVE-2026-55255] as a two-request afterthought, only adding it to their toolset to cover more exploitation possibilities".

Questa distinzione è tecnicamente significativa. Su istanza singola l'RCE consente già il controllo totale; l'IDOR aggiunge poco. Ma come ha osservato Sysdig: "On a single self-hosted instance, there is nothing the Langflow IDOR vulnerability (CVE-2026-55255) can do that its RCE vulnerability (CVE-2026-33017) can't do". La vera differenziazione emerge nel SaaS, dove l'IDOR "can cross the tenant boundary at the application layer", rendendo possibile l'accesso a credenziali di clienti multipli senza compromettere l'infrastruttura sottostante.

"the IDOR can cross the tenant boundary at the application layer, riding the platform's own 'blessed' execution path to run the victim's flow with the victim's credentials" — Sysdig Threat Research Team

Le discrepanze sulla patch e il CVSS

Il record NVD indica le versioni affette come "prior to 1.9.2" con la correzione nella 1.9.2. SecurityWeek riporta invece la patch nella versione 1.9.1, un conflitto che il dossier non risolve. SecurityWeek assegna alla vulnerabilità un CVSS 9.9; il record NVD mostra il vettore completo CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L, che il National Vulnerability Database classifica HIGH con punteggio 8.4. Questa divergenza non altera la gravità della minaccia, ma segnala la necessità di verificare la versione effettivamente installata tramite le release notes ufficiali del progetto.

La fonte non specifica se un proof-of-concept pubblico sia stato rilasciato nel periodo successivo alle osservazioni di Sysdig, che al momento del rilevamento indicavano l'assenza di PoC pubblico.

Cosa fare adesso

  • Aggiornare Langflow alla versione 1.9.2 secondo NVD, verificando eventuali discrepanze con le indicazioni di SecurityWeek sulla 1.9.1 attraverso le release notes ufficiali del progetto
  • Riavviare le istanze SaaS multi-tenant con verifica dell'isolamento tra tenant a livello applicativo, dato che la vulnerabilità attraversa boundary che l'RCE non attraversa
  • Ispezionare i log di accesso al endpoint /api/v1/responses per identificare richieste con flow_id appartenenti ad altri utenti nel periodo 25 giugno - 7 luglio 2026
  • Verificare la presenza di credenziali incorporate nei nodi dei flow esposti, considerando che l'attore osservato mirava esplicitamente a "LLM/cloud keys"

Il rischio strutturale delle piattaforme agentic

Il caso Langflow evidenzia una tensione architetturale delle piattaforme AI: la convenienza del no-code/low-code che incoraggia l'embedding di segreti nei nodi visivi si traduce in un'amplificazione del danno quando i controlli di autorizzazione falliscono. Non è la prima volta che credenziali cloud vengono estratte da workflow automatizzati, ma la combinazione di exploitation in-the-wild, chaining con RCE e traversabilità cross-tenant rende questo pattern particolarmente pericoloso per i service provider che offrono Langflow come servizio gestito.

La deadline federale di tre giorni imposta da CISA riflette questa percezione di rischio sistemico. Il BOD 26-04 applica a Langflow una pressione tipicamente riservata a infrastrutture critiche tradizionali, segnalando che le piattaforme di orchestrazione AI sono ora considerate parte del perimetro di sicurezza nazionale.

L'identità specifica dell'operatore resta sconosciuta; le valutazioni di Sysdig si fermano al profilo generico opportunistico-finanziario. Il volume esatto di credenziali compromesse non è stato quantificato dalle fonti disponibili.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. helpnetsecurity.com
  2. bleepingcomputer.com
  3. securityweek.com
  4. nvd.nist.gov