Langflow CVE-2026-5027: RCE sfruttato, 7.000 esposti

Una vulnerabilità di path traversal in Langflow sta attivamente sfruttata in rete per eseguire codice da remoto. CVE-2026-5027, con punteggio CVSS 8.8 secondo il record NVD, colpisce l'endpoint POST /api/v2/files e consente a un attaccante di scrivere file arbitrari nel filesystem. Circa 7.000 istanze Langflow risultano esposte su Internet, principalmente in Nord America. Il problema è aggravato dalla configurazione predefinita della piattaforma: l'auto-login non autenticato emette token di sessione validi senza credenziali.

Il meccanismo: path traversal nel caricamento file

L'endpoint POST /api/v2/files di Langflow accetta dati in formato multipart form senza sanificare il parametro filename. Secondo l'avviso di Tenable citato nel record NVD, questo consente di inserire sequenze di path traversal ("../") per scrivere file in posizioni arbitrarie del filesystem. La tecnica è classica ma efficace: il server interpreta il nome fornito dall'attaccante come percorso reale, scavalcando le directory previste.

Il nucleo pericoloso risiede nella combinazione con l'auto-login non autenticato. Come ha riportato Caitlin Condon, VP di security research presso VulnCheck, attraverso The Hacker News: "Because Langflow enables unauthenticated auto-login by default, no credentials are required to reach the vulnerable endpoint, and a single unauthenticated request is sufficient to obtain a valid session token before proceeding with exploitation". Il token ottenuto abilita l'accesso all'endpoint vulnerabile, rendendo l'intera catena eseguibile da remoto senza alcuna credenziale.

La dichiarazione di VulnCheck tramite SecurityWeek amplifica il rischio: "The flaw can enable remote code execution (RCE), and because Langflow enables unauthenticated auto-login by default, attackers can reach the vulnerable endpoint without credentials". RCE significa che il file scritto può finire in una directory eseguibile o importabile dal runtime Python di Langflow, completando la compromissione.

La cronaca della scoperta e della disclosure

Tenable ha individuato la vulnerabilità e ha tentato di contattare i maintainer di Langflow per tre volte tra gennaio e febbraio 2026, senza ricevere risposta. La disclosure pubblica è avvenuta il 27 marzo 2026. I maintainer hanno rilasciato la versione 1.9.0 con la correzione il 15 aprile 2026, circa tre settimane dopo. VulnCheck ha successivamente osservato tentativi di sfruttamento attivo in rete.

La timeline rivela un pattern ricorrente nell'ecosistema degli strumenti AI open-source: piattaforme progettate per la prototipazione rapida ricevono attenzione di sicurezza tardiva o insufficiente. Il caso di CVE-2026-5027 non è isolato: SecurityWeek ha documentato separatamente un'altra vulnerabilità Langflow (CVE-2026-33017) sfruttata attivamente nel marzo 2026. Questo contesto indica che la piattaforma è bersaglio ripetuto, ma le fonti non stabiliscono collegamenti infrastrutturali tra gli attacchi né attribuiscono gli operatori a gruppi specifici.

"The 'POST /api/v2/files' endpoint does not sanitize the 'filename' parameter from the multipart form data, allowing an attacker to write files to arbitrary locations on the filesystem using path traversal sequences ('../')" — Tenable advisory via NVD

Il problema della configurazione predefinita

Langflow è progettato come strumento di prototipazione visuale per flussi LLM: drag-and-drop di componenti, connessione rapida, esecuzione immediata. Questa filosofia si traduce in default ottimizzati per la convenienza dello sviluppatore, non per la sicurezza di produzione. L'auto-login non autenticato è un esempio emblematico: elimina il passaggio di autenticazione per accelerare il primo avvio, ma espone l'istanza a chiunque la raggiunga via rete.

Il record NVD classifica la vulnerabilità come CWE-22 (Path Traversal) e assegna il vettore CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H. Il componente PR:L (Privileges Required: Low) appare in tensione con le affermazioni di sfruttamento non autenticato documentate da VulnCheck e SecurityWeek. Questa discrepanza non è risolta nel dossier: può riflettere una diversa interpretazione NVD del meccanismo di auto-login, oppure lo stato di "enrichment pending" del record. Ciò che resta documentato è che l'auto-login di default consente l'ottenimento di token validi senza credenziali, funzionalmente aggirando il requisito di privilegi.

Circa 7.000 istanze Langflow risultano esposte su Internet secondo i dati Censys citati da The Hacker News. La distribuzione geografica è concentrata in Nord America. Nessuna fonte quantifica quante di queste istanze siano vulnerabili, quante abbiano applicato la patch o quante siano state effettivamente compromesse.

Cosa fare adesso

Le azioni prioritarie derivano direttamente dai fatti documentati:

• Verificare la versione installata: Langflow 1.9.0, rilasciata il 15 aprile 2026, contiene la correzione. Le istanze precedenti sono vulnerabili.
• Disabilitare l'auto-login non autenticato: se la configurazione consente l'emissione di token senza credenziali, questa impostazione va modificata per richiedere autenticazione esplicita.
• Reperire le istanze esposte: i team di sicurezza devono mappare eventuali deployment Langflow accessibili da Internet, inclusi quelli avviati per sperimentazione interna e successivamente esposti.
• Rivendicare la proprietà degli asset AI: strumenti di prototipazione LLM spesso sfuggono all'inventario IT standard. CVE-2026-5027 dimostra che questi asset richiedono la stessa rigidezza dei sistemi di produzione.

Il problema più ampio: l'infrastruttura AI come superficie d'attacco

Ciò che rende CVE-2026-5027 indicativo va oltre la singola vulnerabilità. Le piattaforme di orchestrazione LLM stanno migrando da ambienti di sviluppo isolati a infrastrutture di rete con esposizione pubblica, spesso senza che i team di sicurezza ne siano pienamente consapevoli. Il default permissivo di Langflow non è un difetto di implementazione ma una scelta di design: favorire la velocità di sperimentazione. Quando questa velocità incontra l'esposizione di rete, il risultato è un attacco non autenticato a singola richiesta.

La ripetizione di vulnerabilità Langflow nel 2026 — CVE-2026-33017 a marzo, CVE-2026-5027 con sfruttamento confermato a giugno — suggerisce che gli attori della minaccia stanno mappando sistematicamente questa categoria di obiettivi. Le organizzazioni che trattano gli strumenti AI come "solo sperimentazione interna" rischiano di scoprire che l'esperimento è diventato produzione non dichiarata, con esposizione non gestita.

Il gap non è tecnico ma organizzativo: chi deploya Langflow non è necessariamente chi gestisce la sicurezza, e i tempi di hardening non riescono a inseguire i tempi di messa in rete. CVE-2026-5027 è la dimostrazione concreta di questo disallineamento.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://vulert.com/blog/langflow-cve-2026-5027-rce-exploited/
• https://www.reconbee.com/unpatched-langflow-flaw-cve-2026-5027-exploited-for-unauthenticated-rce/
• https://blog.ibvl.in/index.php/2026/06/10/unpatched-langflow-flaw-cve-2026-5027-exploited-for-unauthenticated-rce/
• https://www.securityweek.com/hackers-exploit-langflow-vulnerability-for-remote-code-execution/amp/
• https://cybersecuritynews.com/oracle-peoplesoft-0-day-rce-vulnerability/amp/
• https://nvd.nist.gov/vuln/detail/CVE-2026-5027
• https://thehackernews.com/2026/06/unpatched-langflow-flaw-cve-2026-5027.html
• https://www.securityweek.com/greatxml-zero-day-exploit-bypasses-bitlocker/
• https://www.securityweek.com/critical-langflow-vulnerability-exploited-hours-after-public-disclosure/
• https://www.securityweek.com/splunk-palo-alto-networks-patch-severe-vulnerabilities/