Langflow CVE-2026-55255: IDOR sull'API sfruttata per rubare chiavi e segreti, già in KEV
Le piattaforme low-code per costruire agenti di intelligenza artificiale continuano a essere terreno fertile per gli attaccanti: la CVE-2026-55255 in Langflow, il framework open source per la creazione di agenti e chatbot basati su LLM, è sfruttata attivamente in rete. Il difetto, con CVSS 8.4, è un authorization bypass di tipo IDOR (insecure direct object reference) nell'endpoint /api/v1/responses: l'API accetta l'identificativo di un flusso fornito dal client senza verificare che l'utente richiedente ne sia il proprietario o sia autorizzato a invocarlo. Un attaccante autenticato può così eseguire i flussi appartenenti ad altri utenti, con accesso ai dati che quei flussi elaborano.
Il Threat Research Team di Sysdig ha osservato per primo lo sfruttamento in rete il 25 giugno 2026, e la CISA ha inserito la CVE nel catalogo KEV il 7 luglio 2026, con scadenza di remediation fissata al 10 luglio 2026 per le agenzie federali statunitensi. La tecnica è lineare e automatizzabile: l'operatore interroga GET /api/v1/flows/ per raccogliere gli identificativi dei flussi esposti dall'endpoint, poi li rigioca come parametro su POST /api/v1/responses con input del tipo leak api keys, orientando i flussi altrui al furto di segreti. L'obiettivo dichiarato è il credential harvesting: chiavi dei provider LLM, credenziali cloud e segreti dei database, con esposizione cross-tenant particolarmente grave negli ambienti SaaS multi-tenant. È la seconda volta che Langflow finisce nel nostro bollettino dopo la CVE-2025-34291, e si aggiunge a un elenco che comprende Flowise (CVE-2025-59528) e DataEase: un pattern netto di piattaforme AI e low-code adottate in fretta e messe in produzione con controlli di accesso immaturi.
A doversene preoccupare è chi espone un'istanza Langflow, soprattutto in scenari SaaS o multi-utente dove i flussi di tenant diversi convivono sulla stessa installazione: lì l'IDOR si traduce direttamente in furto di credenziali di terzi. Sul numero di versione che corregge il difetto le fonti divergono, l'alert ACN indica la 1.9.1 mentre il vendor e i ricercatori indicano la 1.9.2 come release che introduce il controllo di proprietà sull'endpoint: in caso di dubbio conviene allinearsi alla 1.9.2.
- Versioni affette: Langflow nelle versioni precedenti alla 1.9.2 (l'alert ACN riporta la 1.9.1).
- Azione raccomandata: aggiornare a Langflow 1.9.2 o successiva entro la scadenza KEV; ruotare le chiavi API e le credenziali eventualmente esposte ai flussi; ispezionare i log per richieste a /api/v1/responses con identificativi di flusso non appartenenti all'utente chiamante.
Fonti: ACN, Help Net Security, Bleeping Computer, CISA