Vulnerabilidad crítica de Langflow (CVE-2025-3248) explotada activamente, advierte CISA

CISA advierte sobre la explotación activa de la vulnerabilidad crítica de Langflow (CVE-2025-3248). Una falla crítica de RCE permite el control total del servidor. ¡Actualicen la versión 1.3.0!

En abril de 2025, los investigadores de ciberseguridad de Horizon3.ai descubrieron una vulnerabilidad de seguridad crítica, designada CVE-2025-3248 con 9.8 CVSS, dentro de Langflow, una herramienta de código abierto ampliamente adoptada para crear flujos de trabajo de inteligencia artificial agencian ( Agentic AI ).

La falla, una vulnerabilidad de inyección de código, representaba un grave riesgo, ya que permitía a atacantes remotos no autorizados obtener el control total de los servidores de Langflow con facilidad. Aunque el problema de seguridad se solucionó en la versión 1.3.0 de Langflow, la vulnerabilidad ha sido explotada activamente por actores de amenazas.

Así lo reveló la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que añadió la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas el 5 de mayo de 2025, destacando su gravedad y la urgencia de aplicar un parche.

Para su información, el proyecto Langflow , respaldado por IBM y DataStax, cuenta con una función que permite a los usuarios modificar y ejecutar el código Python que hace que sus componentes visuales funcionen. Esta "ejecución remota de código como función" está disponible para cualquier usuario que haya iniciado sesión. Sin embargo, aunque su objetivo era ofrecer flexibilidad, ha abierto inadvertidamente una vulnerabilidad de seguridad crítica.

Según la investigación de Horizon3.ai, compartida con Hackread.com, la vulnerabilidad se identificó en un endpoint de API no autenticado, /api/v1/validate/code , que ejecutaba código Python basándose en la entrada de un usuario no confiable. Si bien el análisis inicial mostró que Langflow intenta analizar y validar esta entrada, los investigadores descubrieron posteriormente un método ingenioso para eludir estas comprobaciones: explotando la forma en que Python gestiona los decoradores de funciones.

Estos decoradores, que suelen utilizarse para mejorar el comportamiento de las funciones, pueden ser, de hecho, código Python arbitrario. Al inyectar código malicioso en un decorador, un atacante puede ejecutar comandos en el servidor incluso sin la autenticación adecuada.

Horizon3.ai demostró la gravedad de esta falla al mostrar cómo podría usarse para establecer un shell remoto e incluso extraer información confidencial de un servidor Langflow configurado con autenticación.

Tras la divulgación pública, otro investigador (@_r00tuser) identificó una ruta de explotación alternativa aprovechando el argumento de función predeterminado de Python. "Simplemente envíe el código vulnerable a DeepSeek; construirá con éxito el código de explotación e incluso le ayudará a crear una prueba de concepto de eco", publicó el investigador en X.

#CVE -2025-3248 #DeepSeek在复现LangFlow的代码执行漏洞,直接把出现漏洞的代码丢给DeepSeek,它成功构造出了漏洞利用代码,甚至还能帮你构造一个回显的POC。👍👍 https://t.co/IAz2Zo8bVu pic.twitter.com/Mblnkwubrk

– kking (@_r00tuser) 9 de abril de 2025

Se recomienda encarecidamente a los usuarios que actualicen la herramienta a la versión más reciente. El parche de seguridad implementa la autenticación para el endpoint previamente vulnerable. Las organizaciones que utilizan Langflow deben priorizar la actualización a la versión 1.3.0 o implementar controles estrictos de acceso a la red para limitar la posible exposición.