Langflow CVE-2026-33017: RCE zero-day su piattaforma AI sfruttata in 20 ore dalla divulgazione

La CVE-2026-33017 (CVSS 9.3) colpisce Langflow, framework open-source con oltre 145.000 star su GitHub utilizzato per costruire agenti AI e pipeline RAG. La vulnerabilità risiede nell'endpoint POST /api/v1/build_public_tmp/{flow_id}/flow, progettato per gestire i flussi pubblici senza autenticazione: accettando parametri di flusso controllati dall'attaccante, il codice Python iniettato viene passato direttamente a exec() senza alcun sandboxing, garantendo Remote Code Execution come root con una singola richiesta HTTP.

Secondo Sysdig TRT, i primi tentativi di sfruttamento sono stati registrati sui honeypot entro 20 ore dalla pubblicazione dell'advisory del 17 marzo 2026, senza che esistesse alcun PoC pubblico: gli attaccanti hanno costruito exploit funzionali direttamente dalla descrizione tecnica. The Hacker News riporta che il post-exploitation osservato comprende esfiltrazione di variabili d'ambiente, enumerazione di file di configurazione e database, lettura di .env file, delivery di payload da server remoti e tentativi di shell inversa. La CVE è distinta dal precedente CVE-2025-3248, già nel catalogo KEV CISA. CSO Online conferma che la CISA ha aggiunto CVE-2026-33017 al catalogo KEV imponendo remediation urgente.

Versioni affette: Langflow < 1.9.0.
Azione raccomandata: aggiornare immediatamente alla versione 1.9.0; se non immediatamente possibile, bloccare l'accesso pubblico all'endpoint /api/v1/build_public_tmp/ tramite firewall o reverse proxy

Fonti: ACN. The Hacker News, Sysdig