Langflow CVE-2025-34291: CORS permissivo e cookie SameSite errato abilitano RCE in piattaforma AI già attaccata nel 2026
La CVE-2025-34291 (CVSS 8.8) è la seconda vulnerabilità in Langflow sfruttata attivamente dall'inizio del 2026, dopo CVE-2026-33017 documentata a marzo. Come analizzato da Obsidian Security e VulnCheck, la vulnerabilità nasce da due configurazioni insicure presenti nelle versioni ≤ 1.6.9: la policy CORS accetta richieste credenziali da qualsiasi origine (Access-Control-Allow-Origin: * con credentials: true), e il cookie refresh_token_lf ha attributo SameSite=None anziché Strict o Lax.
La catena di attacco richiede che la vittima (un utente autenticato a un'istanza Langflow) visiti una pagina web malevola controllata dall'attaccante. La pagina esegue una richiesta cross-origin al server Langflow: grazie alla misconfiguration CORS, il browser allega automaticamente il cookie di sessione, permettendo all'attaccante di ottenere un nuovo access token valido. Con il token in mano, l'attaccante accede all'endpoint /api/v1/validate/code, che accetta ed esegue codice Python arbitrario , ottenendo RCE completa sul server senza sandboxing. La versione 1.7 (in uscita al momento della pubblicazione del report Obsidian) adottava default più sicuri per CORS e SameSite, ma all'atto dello sfruttamento rilevato dal CSIRT Italia il 22 maggio la maggior parte delle istanze era ancora su 1.6.x.
Questa è la terza volta in sei mesi che una piattaforma AI open-source per la costruzione di agenti LLM viene sfruttata attivamente, dopo Flowise (CVE-2025-59528) e lo stesso Langflow (CVE-2026-33017).
Versioni affette:
Langflow ≤ 1.6.9.Azione raccomandata: aggiornare immediatamente a Langflow 1.7 o superiore; come mitigazione temporanea, impostare la variabile d'ambiente LANGFLOW_CORS_ORIGINS a origini esplicitamente attendibili e REFRESH_SAME_SITE=Strict nella configurazione.