Una falla de seguridad crítica que afecta a Langflow ha ser objeto de explotación activa dentro de las 20 horas posteriores a la divulgación pública, lo que destaca la velocidad a la que los actores de amenazas utilizan como arma las vulnerabilidades recientemente publicadas.

El defecto de seguridad, rastreado como CVE-2026-33017 (Puntuación CVSS: 9,3), es un caso de falta de autenticación combinada con inyección de código que podría resultar en la ejecución remota de código.

«El punto final POST /api/v1/build_public_tmp/{flow_id}/flow permite crear flujos públicos sin requerir autenticación», según el aviso de Langflow sobre la falla.

«Cuando se proporciona el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin espacio aislado, lo que resulta en una ejecución remota de código no autenticado».

La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia artificial (IA) de código abierto anteriores a la 1.8.1 incluida. Actualmente ha sido abordado en el versión de desarrollo 1.9.0.dev8.

El investigador de seguridad Aviral Srivastava, quien descubrió e informó la falla el 26 de febrero de 2026, dijo que es distinta de CVE-2025-3248 (puntaje CVSS: 9.8), otro error crítico en Langflow que abusaba del punto final /api/v1/validate/code para ejecutar código Python arbitrario sin requerir ninguna autenticación. Desde entonces, ha sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

«CVE-2026-33017 está en /api/v1/build_public_tmp/{flow_id}/flow», Srivastava explicadoy agrega que la causa raíz surge del uso de la misma llamada exec() que CVE-2025-3248 al final de la cadena.

«Este punto final está diseñado para no estar autenticado porque sirve flujos públicos. No se puede simplemente agregar un requisito de autenticación sin romper toda la característica de flujos públicos. La verdadera solución es eliminar por completo el parámetro de datos del punto final público, de modo que los flujos públicos solo puedan ejecutar sus datos de flujo almacenados (del lado del servidor) y nunca aceptar definiciones proporcionadas por el atacante».

Una explotación exitosa podría permitir a un atacante enviar una única solicitud HTTP y obtener la ejecución de código arbitrario con todos los privilegios del proceso del servidor. Con este privilegio implementado, el actor de amenazas puede leer variables de entorno, acceder o modificar archivos para inyectar puertas traseras o borrar datos confidenciales, e incluso obtener un shell inverso.

Srivastava dijo a The Hacker News que explotar CVE-2026-33017 es «extremadamente fácil» y puede activarse mediante un comando curl armado. Una solicitud HTTP POST con código Python malicioso en la carga útil JSON es suficiente para lograr la ejecución remota inmediata del código, añadió.

La empresa de seguridad en la nube Sysdig dijo que observó los primeros intentos de explotación dirigidos a CVE-2026-33017 en estado salvaje dentro de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026.

«En ese momento no existía ningún código de prueba de concepto (PoC) público», dijo Sysdig. «Los atacantes crearon exploits funcionales directamente a partir de la descripción del aviso y comenzaron a escanear Internet en busca de instancias vulnerables. La información filtrada incluía claves y credenciales, que proporcionaban acceso a bases de datos conectadas y un posible compromiso de la cadena de suministro de software».

También se ha observado que los actores de amenazas pasan del escaneo automatizado al aprovechamiento de secuencias de comandos Python personalizadas para extraer datos de «/etc/passwd» y entregar una carga útil de siguiente etapa no especificada alojada en «173.212.205».[.]251:8443.» La actividad posterior desde la misma dirección IP apunta a una operación exhaustiva de recolección de credenciales que implica recopilar variables de entorno, enumerar archivos de configuración y bases de datos, y extraer el contenido de los archivos .env.

Esto sugiere una planificación por parte del actor de la amenaza preparando el malware para que se entregue una vez que se identifique un objetivo vulnerable. «Este es un atacante con un conjunto de herramientas de explotación preparado que pasa de la validación de vulnerabilidades al despliegue de carga útil en una sola sesión», señaló Sysdig. Por el momento se desconoce quién está detrás de los ataques.

La ventana de 20 horas entre la publicación del aviso y la primera explotación se alinea con una tendencia acelerada que ha visto el tiempo medio de explotación (TTE) reducirse de 771 días en 2018 a solo horas en 2024.

Según Rapid7 Informe sobre el panorama mundial de amenazas 2026el tiempo medio desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA se redujo de 8,5 días a cinco días durante el año pasado.

«Esta compresión del cronograma plantea serios desafíos para los defensores. El tiempo promedio para que las organizaciones implementen parches es de aproximadamente 20 días, lo que significa que los defensores están expuestos y vulnerables durante demasiado tiempo», agregó. «Los actores de amenazas están monitoreando las mismas fuentes de asesoramiento que usan los defensores y están creando exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Las organizaciones deben reconsiderar completamente sus programas de vulnerabilidad para adaptarse a la realidad».

Se recomienda a los usuarios que actualicen a la última versión parcheada lo antes posible, auditen las variables de entorno y los secretos en cualquier instancia de Langflow expuesta públicamente, roten claves y contraseñas de bases de datos como medida de precaución, monitoreen las conexiones salientes a servicios de devolución de llamadas inusuales y restrinjan el acceso a la red a las instancias de Langflow mediante reglas de firewall o un proxy inverso con autenticación.

La actividad de exploración dirigida a CVE-2025-3248 y CVE-2026-33017 subraya cómo las cargas de trabajo de IA están aterrizando en el punto de mira de los atacantes debido a su acceso a datos valiosos, su integración dentro de la cadena de suministro de software y sus insuficientes salvaguardias de seguridad.

«CVE-2026-33017 […] demuestra un patrón que se está convirtiendo en la norma y no en la excepción: las vulnerabilidades críticas en herramientas populares de código abierto se convierten en armas a las pocas horas de su divulgación, a menudo antes de que el código PoC público esté disponible», concluyó Sysdig.

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña de años.

La actividad, que se ha dirigido a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068donde «CL» se refiere a «clúster» y «UNK» significa motivación desconocida.

Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.

«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios que viven de la tierra (LOLBIN)», investigador de seguridad Tom Fakterman. dicho. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo».

Las herramientas están diseñadas para atacar entornos Windows y Linux, y el adversario se basa en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015 y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra (también conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en línea.

Las cadenas de ataques típicas implican la explotación de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio «c:\inetpub\wwwroot» de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a través del shell web.

«Al codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ningún archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver la salida, pero no transferir archivos directamente».

Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python («python.exe» y «pythonw.exe») para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofery un escáner personalizado basado en Go llamado ScanPortPlus.

También se dice que CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo método que utiliza scripts por lotes para recopilar información del host y mapear el entorno local.

El adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales:

«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltraba en organizaciones críticas», concluyó la Unidad 42.

«Este grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todavía no podemos descartar por completo intenciones cibercriminales».