CISA ha incorporado CVE-2026-33017 al catálogo Known Exploited Vulnerabilities (KEV) y avisa de que ya se está explotando para lograr Remote Code Execution (RCE) sin autenticación en Langflow. La recomendación principal es actualizar a Langflow 1.9.0 o superior y evitar exponer el servicio a Internet.
La agencia estadounidense CISA ha advertido de la explotación activa de CVE-2026-33017, una vulnerabilidad crítica en Langflow, un framework open source orientado a crear AI workflows y agentes que orquestan tareas mediante flujos. Según la información difundida, el fallo permite Remote Code Execution (RCE) sin autenticación a través de una única petición HTTP, lo que eleva de forma notable el riesgo para cualquier despliegue accesible desde fuera o mal segmentado dentro de una red corporativa. El artículo sitúa la gravedad en un CVSS 9.3, destacando que el impacto no se limita a la caída del servicio: un atacante podría ejecutar código Python arbitrario y, por extensión, acceder a datos y secretos a los que el proceso de Langflow tenga permisos.
El problema se describe como una code injection asociada a la creación y ejecución de ‘public flows’, con el detalle especialmente preocupante de que el flujo puede ejecutarse sin un mecanismo de sandboxing robusto. En la práctica, esto convierte un componente pensado para acelerar prototipos y automatizaciones basadas en IA en una puerta de entrada para tomar control del host o del contenedor donde se ejecute. En entornos reales, Langflow suele integrarse con LLMs, conectores a bases de datos, herramientas de búsqueda interna y credenciales de servicios cloud; por eso, una RCE en este punto puede derivar rápidamente en robo de información, movimiento lateral o uso de las mismas integraciones como canal de exfiltración.
La entrada en el catálogo KEV implica que CISA considera que existe explotación confirmada ‘en el mundo real’ y, además, fija un plazo de remediación para agencias federales bajo BOD 22-01: hasta el 8 de abril para aplicar parches o mitigaciones, o bien dejar de usar el producto afectado. Aunque este mandato aplica formalmente a organismos federales de EE. UU., suele tomarse como referencia por empresas y administraciones fuera de ese ámbito porque refleja priorización basada en actividad adversaria observada.
El artículo cita observaciones de Sysdig sobre la rapidez con la que se operacionalizó el ataque: escaneo automatizado poco después del aviso, explotación con scripts en Python y, a continuación, intentos de extracción de datos sensibles como ficheros .env y bases de datos .db. También se menciona que, incluso sin un PoC público inicial, actores maliciosos habrían podido construir el exploit a partir de los detalles del advisory, una dinámica cada vez más común cuando las descripciones técnicas permiten deducir el vector exacto.
En cuanto al alcance, se indica que afecta a Langflow 1.8.1 y versiones anteriores, y que la corrección llega con Langflow 1.9.0 o posterior. Si no es posible actualizar de inmediato, las medidas defensivas recomendadas pasan por restringir o deshabilitar el endpoint vulnerable (además de reforzar controles de acceso), no publicar Langflow directamente en Internet, y vigilar especialmente el tráfico saliente en busca de patrones anómalos. En caso de sospecha de compromiso, es prudente rotar secrets, API keys, credenciales de bases de datos y cualquier permiso cloud accesible desde el entorno, ya que una RCE suele traducirse en acceso inmediato a la configuración y a los tokens operativos del servicio.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/security/cisa-new-langflow-flaw-actively-exploited-to-hijack-ai-workflows/
La entrada CISA alerta de explotación activa de un fallo crítico en Langflow que permite secuestrar flujos de IA se publicó primero en Una Al Día.
