В «ИИ-конструкторе» Langflow обнаружена критическая уязвимость

Уязвимость с идентификатором CVE-2025−3248 позволяет злоумышленникам выполнять произвольный код на серверах без авторизации, получая полный контроль над системой. Об этом сообщает BleepingComputer.

Langflow — это открытая платформа для визуального создания рабочих процессов на основе ИИ. Уязвимость связана с ошибкой в API, которая позволяет атакующим отправлять вредоносные запросы. На данный момент в интернете доступны 466 серверов Langflow, что делает их уязвимыми для атак. Проблема затрагивает все версии до 1.3.0, в то время как новая версия 1.4.0 уже содержит необходимые исправления.

CISA добавила эту уязвимость в список активно эксплуатируемых угроз, потребовав от федеральных агентств обновить программное обеспечение до 26 мая. Исследователи из Horizon3 подчеркнули, что уязвимость легко эксплуатировать из-за недостаточной защиты платформы.

Организациям, использующим Langflow, настоятельно рекомендуется обновить платформу до версии 1.4.0 и ограничить доступ к серверам из интернета.