DeafNews
// 4 CVE · 3 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
vulnerabilita CVE

CISA inserisce CVE-2025-34291 nel KEV: exploit attivo con CVSS 9.4

Published: Updated: By DeafSuite team 10 min read vulnerabilita
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Il CVE-2025-34291 di Langflow entra nel catalogo CISA KEV. Analisi della catena di attacco che espone API key e token cloud tramite vulnerabilità di origin validation.
CISA inserisce CVE-2025-34291 nel KEV: exploit attivo con CVSS 9.4

CISA ha inserito ufficialmente nel catalogo Known Exploited Vulnerabilities (KEV) la falla CVE-2025-34291, una vulnerabilità di origin validation che colpisce la piattaforma Langflow. Secondo la ricostruzione di Obsidian Security riportata da The Hacker News, la minaccia ha un punteggio CVSS di 9.4, riflettendo un rischio critico per le infrastrutture AI. L'inserimento, avvenuto il 21 maggio 2026, è motivato da evidenze di sfruttamento attivo in the wild, trasformando il bug da vulnerabilità teorica a minaccia imminente.

La Required Action definita dall'agenzia federale non è un ordine generico al vendor, ma un obbligo vincolante per le agenzie della Federal Civilian Executive Branch (FCEB). Queste realtà devono applicare le mitigazioni necessarie entro la scadenza fissata per il 4 giugno 2026. Il vettore di attacco non si limita a compromettere l'istanza locale di Langflow, ma mira all'esfiltrazione di token e chiavi API memorizzate, facilitando compromissioni a cascata sui servizi cloud e SaaS integrati nei workflow.

Punti chiave della vulnerabilità
  • CISA ha aggiunto CVE-2025-34291 al KEV Catalog il 21 maggio 2026, confermando l'esistenza di exploit attivi contro la piattaforma Langflow.
  • La vulnerabilità è classificata come CWE-346 (Origin Validation Error) e presenta un vettore CVSS 4.0 con impatto massimo su riservatezza e integrità.
  • Secondo le analisi tecniche, l'attacco combina tre debolezze: CORS permissivo, assenza di protezioni CSRF e un endpoint di esecuzione codice integrato per design.
  • L'impatto principale riguarda il furto di identità non-umane, inclusi token di accesso e API key utilizzati per collegare Langflow a database e modelli esterni.
  • Le agenzie federali FCEB hanno tempo fino al 4 giugno 2026 per completare le azioni di remediation previste dalla direttiva CISA.

Dalla classificazione CWE alla direttiva federale KEV

La vulnerabilità CVE-2025-34291 ha seguito un'escalation rapida nel panorama della sicurezza delle infrastrutture AI. Il National Vulnerability Database (NVD) la identifica come un "Origin Validation Error" (CWE-346), assegnando un vettore tecnico CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H. Questa stringa indica che l'attacco può essere sferrato via rete con bassa complessità e senza privilegi preventivi, richiedendo solo una minima interazione da parte di un utente autenticato.

L'inclusione nel catalogo KEV segna un punto di svolta. CISA non inserisce ogni CVE nel catalogo, ma solo quelli per cui esiste prova certa di utilizzo malevolo. "CISA ha aggiunto due nuove vulnerabilità al catalogo Known Exploited Vulnerabilities, basandosi sull'evidenza di sfruttamento attivo", ha dichiarato l'agenzia il 21 maggio 2026. Per le organizzazioni governative americane, questo comporta l'obbligo di intervento immediato, solitamente consistente nell'aggiornamento alle versioni patchate o nella disabilitazione degli endpoint vulnerabili.

La centralità di Langflow nei processi di automazione moderna aggrava il rischio. Essendo uno strumento per costruire grafi di agenti AI, la piattaforma gestisce flussi di dati sensibili e integrazioni profonde. Una falla di validazione dell'origine permette a un attaccante di bypassare i controlli del browser, inviando comandi non autorizzati che vengono eseguiti nel contesto della sessione legittima dell'utente, portando alla piena compromissione del sistema di orchestrazione.

La catena tecnica: CORS, CSRF ed endpoint di esecuzione

L'efficacia dell'exploit per CVE-2025-34291 deriva dalla concatenazione di tre fattori strutturali identificati nel report di Obsidian Security di dicembre 2025. Il primo elemento è un meccanismo di Cross-Origin Resource Sharing (CORS) configurato in modo eccessivamente permissivo. Questa debolezza consente a script provenienti da domini esterni di interagire con l'istanza Langflow, violando la Same-Origin Policy che dovrebbe isolare le applicazioni web l'una dall'altra.

Il secondo anello della catena è la mancanza di protezione contro il Cross-Site Request Forgery (CSRF). Senza token CSRF validi, l'applicazione non è in grado di distinguere tra una richiesta legittima inviata dall'interfaccia utente e una richiesta contraffatta inviata in background mentre l'utente visita un sito malevolo. In questo scenario, il browser della vittima diventa il veicolo inconsapevole che trasporta il payload dell'attaccante verso il server Langflow interno o esposto.

"L'exploit sfrutta tre debolezze combinate: CORS eccessivamente permissivo, mancanza di protezione CSRF e un endpoint che consente l'esecuzione di codice per design" — Obsidian Security (tramite The Hacker News)

Infine, la presenza di un endpoint progettato per l'esecuzione di codice arbitrario chiude il cerchio. Poiché Langflow deve permettere agli sviluppatori di testare script e logica dei nodi AI, l'esistenza di tale funzionalità è necessaria per il business. Tuttavia, in assenza di validazione rigorosa dell'origine e della provenienza della richiesta, questo endpoint diventa una porta aperta per l'esecuzione remota di codice (RCE) da parte di attori esterni.

Impatto sulla supply chain e furto di identità non-umane

Il pericolo principale legato a CVE-2025-34291 non risiede solo nel controllo dell'istanza Langflow, ma nella sua capacità di agire come "pivot" verso l'intera infrastruttura cloud aziendale. Per funzionare, Langflow richiede l'integrazione di numerose chiavi API (OpenAI, Anthropic, database vettoriali come Pinecone o Milvus, e servizi cloud AWS/Azure). Queste credenziali sono spesso memorizzate direttamente nel workspace o nei file di configurazione della piattaforma.

"L'impatto è grave: lo sfruttamento riuscito non solo compromette l'istanza Langflow, ma espone anche tutti i token di accesso sensibili e le chiavi API memorizzate nel workspace" — Obsidian Security (tramite The Hacker News)

Una volta ottenuto l'accesso tramite l'exploit di origin validation, un attaccante può esfiltrare sistematicamente questi secret. Le chiavi API e i token sono identità non-umane che spesso godono di privilegi elevati e raramente sono soggette a rotazione frequente o autenticazione a più fattori. L'esfiltrazione permette quindi una compromissione a cascata (cascading compromise) su tutti i servizi collegati, consentendo agli attaccanti di muoversi lateralmente nel cloud della vittima.

Questo tipo di attacco si inserisce in un trend più ampio di minacce alla supply chain dell'intelligenza artificiale. Gli ambienti di sviluppo e le workstation dei programmatori, come evidenziato in analisi contestuali di settore, sono diventati obiettivi prioritari. Se una piattaforma di orchestrazione come Langflow viene violata, l'attaccante non colpisce solo un'applicazione, ma il centro di controllo che governa il flusso di dati e l'intelligenza di business dell'intera organizzazione.

Cosa fare adesso

  • Eseguire l'inventario delle istanze Langflow: Identificare ogni installazione della piattaforma all'interno della rete aziendale, con particolare attenzione alle istanze esposte pubblicamente o accessibili tramite proxy non protetti.
  • Applicare le patch e le mitigazioni: In conformità con la direttiva CISA per le agenzie FCEB, aggiornare Langflow alla versione più recente che risolve il problema CWE-346 o applicare le restrizioni CORS consigliate dal vendor.
  • Rotazione immediata dei secret: Procedere alla rotazione di tutte le API key, token di accesso e credenziali di database memorizzate nei workspace Langflow potenzialmente esposti, monitorando i log per accessi anomali.
  • Restringere l'accesso a livello di rete: Isolare le istanze Langflow dietro una VPN o un Identity-Aware Proxy (IAP), limitando le origini consentite e implementando controlli granulari sulle richieste in ingresso.

Perché questa vulnerabilità è importante per la sicurezza AI

La decisione di CISA di focalizzarsi su CVE-2025-34291 evidenzia una nuova frontiera del rischio cyber: la sicurezza delle pipeline AI. Mentre gran parte del dibattito pubblico si concentra sui rischi etici o sui "jailbreak" dei modelli, le vulnerabilità infrastrutturali come quella di Langflow dimostrano che i vettori di attacco classici (come CSRF e CORS) rimangono estremamente efficaci se applicati a strumenti moderni ancora immaturi dal punto di vista della security-by-design.

Il caso Langflow è paradigmatico perché mostra come la funzionalità di una piattaforma (l'esecuzione di codice per l'orchestrazione) possa essere ritorta contro l'utente se non accoppiata a una validazione rigorosa dei messaggi. In un ecosistema dove le integrazioni tra servizi sono la norma, una singola falla di origin validation può tradursi nella perdita totale del controllo sulle identità digitali dell'azienda. La velocità con cui CISA ha imposto la remediation sottolinea che il tempo delle vulnerabilità AI "teoriche" è finito.

L'incidente richiama inoltre l'attenzione sulla necessità di monitorare le identità non-umane. Se un token API esfiltrato viene utilizzato da un attaccante, spesso non attiva i tradizionali allarmi basati sull'endpoint, poiché il traffico appare come legittimo utilizzo di API cloud. Per questo motivo, la protezione di piattaforme come Langflow deve diventare una priorità per i team di sicurezza che gestiscono infrastrutture data-driven e workflow di intelligenza artificiale generativa.

Domande frequenti

Qual è il rischio reale per le aziende non governative?

Sebbene l'ordine di CISA sia vincolante solo per le agenzie federali FCEB, l'inserimento nel KEV conferma che la vulnerabilità è attivamente sfruttata da criminali informatici. Qualsiasi azienda che utilizzi Langflow in produzione o sviluppo è esposta allo stesso rischio di esecuzione di codice e furto di API key.

La vulnerabilità CVE-2025-34291 richiede un utente malintenzionato interno?

No. La falla può essere sfruttata da remoto. Un utente legittimo di Langflow deve solo essere indotto a visitare una pagina web malevola mentre ha una sessione attiva nella piattaforma. Questo è sufficiente per attivare la catena CORS/CSRF e permettere l'esecuzione di comandi non autorizzati dal browser dell'utente al server.

Perché CISA indica il 4 giugno 2026 come scadenza?

Il catalogo KEV stabilisce scadenze di remediation per le agenzie federali FCEB per garantire una risposta tempestiva a minacce critiche. Il 4 giugno 2026 rappresenta il termine ultimo entro cui le agenzie devono aver applicato le mitigazioni per eliminare il rischio di sfruttamento attivo della CVE-2025-34291.

È possibile rilevare se l'exploit è già avvenuto?

Rilevare l'abuso di CVE-2025-34291 può essere complesso perché le richieste possono apparire legittime nei log applicativi. È necessario analizzare i log del server per pattern di richieste CORS anomale e monitorare l'utilizzo insolito delle API key registrate su Langflow verso i servizi cloud esterni.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Altri contenuti collegati

Fonti

Fonti e riferimenti
  1. nvd.nist.gov
  2. cisa.gov
  3. thehackernews.com