Path traversal no endpoint POST /api/v2/files do Langflow, combinado com auto-login anônimo habilitado por padrão, permite que atacantes remotos gravem arquivos em locais arbitrários do sistema de arquivos e avancem para execução remota de código em instâncias expostas na internet.
| Componente | Langflow, plataforma open source low-code para construção de aplicações de inteligência artificial; endpoint POST /api/v2/files responsável por upload de arquivos via multipart form data |
| Vetor | Requisição HTTP não autenticada ao endpoint vulnerável, com parâmetro filename não sanitizado e sequências de path traversal (../) no corpo multipart, após obtenção de token de sessão válido via auto-login anônimo padrão do produto |
| Impacto | Escrita de arquivos em caminhos arbitrários do sistema de arquivos; exploração ativa observada com criação de arquivos de teste em sistemas alvo; potencial de execução remota de código conforme análise de pesquisadores |
| Prioridade | Isolar instâncias expostas, desabilitar auto-login anônimo, restringir acesso de rede ao painel Langflow e aplicar correção assim que disponível; caçar uploads anômalos e arquivos recém-criados fora de diretórios esperados |
| Versões | Falha sem correção disponível no momento do relato; divulgação pública em 27 de março de 2026 após tentativas de contato com mantenedores entre janeiro e fevereiro de 2026 |
| Mitigação | Bloqueio de exposição pública, endurecimento de autenticação, monitoramento de tráfego para /api/v2/files e validação de integridade do sistema de arquivos em hosts que executam Langflow |
O Langflow é uma plataforma open source de baixo código voltada à montagem e implantação de fluxos de aplicações de inteligência artificial. Pesquisadores identificaram a vulnerabilidade CVE-2026-5027, classificada com pontuação CVSS 8.8, como uma falha de path traversal no tratamento de uploads de arquivo. A falha permanece sem patch no momento em que a exploração ativa foi documentada, o que eleva o risco para ambientes que mantêm instâncias acessíveis pela internet.
A falha reside no endpoint POST /api/v2/files, que aceita dados multipart e não sanitiza adequadamente o parâmetro filename. Um atacante pode incorporar sequências de travessia de diretório, como ../, para desviar o destino previsto do upload e gravar conteúdo em locais arbitrários do sistema de arquivos do servidor. A Tenable, que descobriu o problema, publicou alerta técnico no final de março de 2026 após três tentativas de contato com os mantenedores do projeto entre janeiro e fevereiro daquele ano.
Observações posteriores indicam exploração em ambiente real. A VulnCheck relatou que adversários já utilizam a falha para materializar arquivos de teste em sistemas comprometidos, sinalizando validação prática da cadeia de abuso. Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, descreveu que a combinação de escrita arbitrária de arquivos com a superfície exposta do Langflow viabiliza execução remota de código. O cenário reforça uma tendência de ataques direcionados à infraestrutura e às ferramentas usadas para desenvolver e operar aplicações de IA, e não apenas aos modelos em si.
Dados de varredura de exposição indicam cerca de sete mil instâncias Langflow publicamente acessíveis, com concentração majoritária na América do Norte. Esse volume de superfície exposta amplifica a janela de oportunidade para exploração automatizada e tentativas de comprometimento em larga escala enquanto a correção oficial não estiver amplamente aplicada.
A cadeia de abuso começa na configuração padrão do Langflow que habilita auto-login sem autenticação. Isso significa que um atacante remoto não precisa de credenciais válidas para interagir com a interface e os endpoints da aplicação. Pesquisadores descreveram que uma única requisição não autenticada é suficiente para obter um token de sessão válido, removendo a barreira inicial que normalmente limitaria o acesso a funcionalidades sensíveis.
Com sessão estabelecida, o adversário direciona tráfego ao endpoint POST /api/v2/files. O servidor processa o upload multipart e utiliza o valor fornecido em filename para determinar onde o conteúdo será persistido. Na ausência de sanitização contra travessia de caminho, valores contendo ../ permitem sair do diretório de destino previsto e apontar para outras áreas do sistema de arquivos acessíveis pelo processo do Langflow.
O efeito imediato confirmado é a escrita de arquivos fora do local esperado. Em explorações observadas, essa capacidade tem sido usada para depositar arquivos de teste, comportamento típico de validação automatizada antes de etapas mais agressivas. A partir da escrita arbitrária, a progressão para execução remota de código depende do contexto do host — permissões do processo, local escolhido para o arquivo, mecanismos de execução disponíveis e possibilidade de sobrescrever artefatos consultados pelo runtime — mas pesquisadores enquadram o resultado final como RCE remota não autenticada quando as pré-condições se alinham.
A exploração ativa documentada ocorre sem necessidade de interação do usuário legítimo além da exposição da instância na rede. Não há indicação no material disponível de que a falha exija privilégios prévios, autenticação forte ou acesso local. O vetor é predominantemente remoto e orientado a instalações expostas de forma inadequada, o que torna relevante tanto o patch quanto o controle de perímetro e de identidade.
O componente diretamente afetado é o serviço Langflow que expõe a API de arquivos na rota /api/v2/files. Qualquer implantação que mantenha essa interface acessível a atores não confiáveis herda o risco, especialmente quando o auto-login anônimo permanece ativo. Ambientes de desenvolvimento, homologação e produção que publicam o painel ou a API sem autenticação robusta e sem filtragem de rede concentram a maior probabilidade de comprometimento.
A exposição não se limita a um único provedor ou região, mas varreduras de internet sugerem milhares de instâncias alcançáveis externamente. Organizações que adotaram Langflow para prototipagem rápida de fluxos de IA podem ter deixado instâncias de teste acessíveis inadvertidamente, ampliando a superfície corporativa além dos ativos formalmente inventariados.
- Servidores Langflow com
POST /api/v2/filesexposto a redes não confiáveis - Instâncias com auto-login anônimo habilitado por padrão, permitindo obtenção de token de sessão sem credenciais
- Aproximadamente sete mil instâncias publicamente visíveis em varreduras de exposição, com predominância na América do Norte
- Hosts onde o processo do Langflow possui permissão de escrita em diretórios sensíveis do sistema de arquivos
Equipes de segurança devem priorizar a identificação de instâncias Langflow expostas e correlacionar tráfego HTTP anômalo direcionado ao endpoint de upload de arquivos. Como a exploração observada inclui criação de arquivos de teste, monitoramentos de integridade de arquivos e alertas de escrita fora de diretórios de aplicação podem antecipar comprometimentos mais graves.
Em proxies, gateways de API e logs de aplicação, procure padrões de requisição POST para /api/v2/files originadas de endereços externos, especialmente quando o corpo multipart contiver nomes de arquivo com sequências de travessia de diretório. Eventos de autenticação ou emissão de sessão precedendo imediatamente uploads suspeitos reforçam a hipótese de abuso da configuração padrão de auto-login.
Em hosts Linux ou contêineres que executam Langflow, auditoria de arquivos recém-modificados em caminhos incomuns, tamanhos reduzidos compatíveis com marcadores de teste e timestamps alinhados a conexões HTTP externas ajudam a confirmar exploração bem-sucedida. A telemetria deve ser avaliada em conjunto com inventário de serviços expostos para distinguir uso legítimo interno de tentativas de abuso remoto.
- Requisições
POST /api/v2/filescom parâmetrofilenamecontendo../ou variantes codificadas - Sessões ou tokens emitidos sem autenticação forte imediatamente antes de uploads
- Arquivos de teste ou artefatos novos em diretórios fora da árvore esperada do Langflow
- Picos de tráfego de varredura contra instâncias Langflow identificadas em buscas de exposição pública
A resposta deve combinar contenção imediata e redução estrutural da superfície. Enquanto não houver patch amplamente disponível e aplicado, instâncias não essenciais devem ser retiradas da internet pública ou colocadas atrás de controles de acesso que exijam autenticação forte e autorização explícita. Desabilitar o auto-login anônimo elimina um elo crítico da cadeia descrita pelos pesquisadores, impedindo que atacantes obtenham sessão válida com uma única requisição não autenticada.
Após identificar exposição, equipes devem inspecionar o sistema de arquivos em busca de artefatos desconhecidos criados em janelas temporais compatíveis com alertas de rede. Se houver indícios de escrita arbitrária bem-sucedida, o procedimento deve incluir isolamento do host, preservação forense, rotação de segredos acessíveis ao processo comprometido e análise de persistência ou modificação de binários e scripts interpretados.
A correção definitiva depende de atualização fornecida pelos mantenedores do Langflow que sanitize o parâmetro filename e restrinja destinos de gravação a diretórios permitidos. Até lá, políticas de publicação devem tratar instâncias Langflow como componentes de alto risco quando expostas, com revisão periódica de inventário externo e validação de que ambientes de IA experimental não vazam para redes não confiáveis.
- Remover exposição pública desnecessária e restringir acesso ao painel e à API por VPN, bastion ou gateway autenticado
- Desabilitar auto-login anônimo e exigir autenticação antes de qualquer operação de upload
- Monitorar e alertar sobre uso do endpoint
/api/v2/filescom indicadores de path traversal no nome de arquivo - Aplicar atualização oficial assim que disponível e validar em homologação que uploads malformados são rejeitados
- Executar varredura de integridade de arquivos e revisar logs HTTP em instâncias suspeitas ou diretamente expostas
0 Comentários