Una falla de seguridad crítica que afecta a Langflow ha ser objeto de explotación activa dentro de las 20 horas posteriores a la divulgación pública, lo que destaca la velocidad a la que los actores de amenazas utilizan como arma las vulnerabilidades recientemente publicadas.

El defecto de seguridad, rastreado como CVE-2026-33017 (Puntuación CVSS: 9,3), es un caso de falta de autenticación combinada con inyección de código que podría resultar en la ejecución remota de código.

«El punto final POST /api/v1/build_public_tmp/{flow_id}/flow permite crear flujos públicos sin requerir autenticación», según el aviso de Langflow sobre la falla.

«Cuando se proporciona el parámetro de datos opcional, el punto final utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin espacio aislado, lo que resulta en una ejecución remota de código no autenticado».

La vulnerabilidad afecta a todas las versiones de la plataforma de inteligencia artificial (IA) de código abierto anteriores a la 1.8.1 incluida. Actualmente ha sido abordado en el versión de desarrollo 1.9.0.dev8.

El investigador de seguridad Aviral Srivastava, quien descubrió e informó la falla el 26 de febrero de 2026, dijo que es distinta de CVE-2025-3248 (puntaje CVSS: 9.8), otro error crítico en Langflow que abusaba del punto final /api/v1/validate/code para ejecutar código Python arbitrario sin requerir ninguna autenticación. Desde entonces, ha sido objeto de explotación activa, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

«CVE-2026-33017 está en /api/v1/build_public_tmp/{flow_id}/flow», Srivastava explicadoy agrega que la causa raíz surge del uso de la misma llamada exec() que CVE-2025-3248 al final de la cadena.

«Este punto final está diseñado para no estar autenticado porque sirve flujos públicos. No se puede simplemente agregar un requisito de autenticación sin romper toda la característica de flujos públicos. La verdadera solución es eliminar por completo el parámetro de datos del punto final público, de modo que los flujos públicos solo puedan ejecutar sus datos de flujo almacenados (del lado del servidor) y nunca aceptar definiciones proporcionadas por el atacante».

Una explotación exitosa podría permitir a un atacante enviar una única solicitud HTTP y obtener la ejecución de código arbitrario con todos los privilegios del proceso del servidor. Con este privilegio implementado, el actor de amenazas puede leer variables de entorno, acceder o modificar archivos para inyectar puertas traseras o borrar datos confidenciales, e incluso obtener un shell inverso.

Srivastava dijo a The Hacker News que explotar CVE-2026-33017 es «extremadamente fácil» y puede activarse mediante un comando curl armado. Una solicitud HTTP POST con código Python malicioso en la carga útil JSON es suficiente para lograr la ejecución remota inmediata del código, añadió.

La empresa de seguridad en la nube Sysdig dijo que observó los primeros intentos de explotación dirigidos a CVE-2026-33017 en estado salvaje dentro de las 20 horas posteriores a la publicación del aviso el 17 de marzo de 2026.

«En ese momento no existía ningún código de prueba de concepto (PoC) público», dijo Sysdig. «Los atacantes crearon exploits funcionales directamente a partir de la descripción del aviso y comenzaron a escanear Internet en busca de instancias vulnerables. La información filtrada incluía claves y credenciales, que proporcionaban acceso a bases de datos conectadas y un posible compromiso de la cadena de suministro de software».

También se ha observado que los actores de amenazas pasan del escaneo automatizado al aprovechamiento de secuencias de comandos Python personalizadas para extraer datos de «/etc/passwd» y entregar una carga útil de siguiente etapa no especificada alojada en «173.212.205».[.]251:8443.» La actividad posterior desde la misma dirección IP apunta a una operación exhaustiva de recolección de credenciales que implica recopilar variables de entorno, enumerar archivos de configuración y bases de datos, y extraer el contenido de los archivos .env.

Esto sugiere una planificación por parte del actor de la amenaza preparando el malware para que se entregue una vez que se identifique un objetivo vulnerable. «Este es un atacante con un conjunto de herramientas de explotación preparado que pasa de la validación de vulnerabilidades al despliegue de carga útil en una sola sesión», señaló Sysdig. Por el momento se desconoce quién está detrás de los ataques.

La ventana de 20 horas entre la publicación del aviso y la primera explotación se alinea con una tendencia acelerada que ha visto el tiempo medio de explotación (TTE) reducirse de 771 días en 2018 a solo horas en 2024.

Según Rapid7 Informe sobre el panorama mundial de amenazas 2026el tiempo medio desde la publicación de una vulnerabilidad hasta su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA se redujo de 8,5 días a cinco días durante el año pasado.

«Esta compresión del cronograma plantea serios desafíos para los defensores. El tiempo promedio para que las organizaciones implementen parches es de aproximadamente 20 días, lo que significa que los defensores están expuestos y vulnerables durante demasiado tiempo», agregó. «Los actores de amenazas están monitoreando las mismas fuentes de asesoramiento que usan los defensores y están creando exploits más rápido de lo que la mayoría de las organizaciones pueden evaluar, probar e implementar parches. Las organizaciones deben reconsiderar completamente sus programas de vulnerabilidad para adaptarse a la realidad».

Se recomienda a los usuarios que actualicen a la última versión parcheada lo antes posible, auditen las variables de entorno y los secretos en cualquier instancia de Langflow expuesta públicamente, roten claves y contraseñas de bases de datos como medida de precaución, monitoreen las conexiones salientes a servicios de devolución de llamadas inusuales y restrinjan el acceso a la red a las instancias de Langflow mediante reglas de firewall o un proxy inverso con autenticación.

La actividad de exploración dirigida a CVE-2025-3248 y CVE-2026-33017 subraya cómo las cargas de trabajo de IA están aterrizando en el punto de mira de los atacantes debido a su acceso a datos valiosos, su integración dentro de la cadena de suministro de software y sus insuficientes salvaguardias de seguridad.

«CVE-2026-33017 […] demuestra un patrón que se está convirtiendo en la norma y no en la excepción: las vulnerabilidades críticas en herramientas populares de código abierto se convierten en armas a las pocas horas de su divulgación, a menudo antes de que el código PoC público esté disponible», concluyó Sysdig.

Google el jueves anunciado un nuevo «flujo avanzado» para la descarga de Android que requiere un período de espera obligatorio de 24 horas para instalar aplicaciones de desarrolladores no verificados en un intento de equilibrar la apertura con la seguridad.

Los nuevos cambios se producen en el contexto de un mandato de verificación de desarrolladores que el gigante tecnológico anunció el año pasado que requiere que todas las aplicaciones de Android estén registradas por desarrolladores verificados para instalarse en dispositivos Android certificados. La medida, añadió, se hizo para detectar a los malos actores más rápidamente y evitar que distribuyan malware.

Esto también incluye escenarios potenciales en los que los ciberdelincuentes engañan a los usuarios desprevenidos que descargan dichas aplicaciones para que les otorguen privilegios elevados que permitan desactivar Play Protect, la función antimalware integrada en todos los dispositivos Android certificados por Google.

Sin embargo, el requisitos de registro obligatorios ha sido recibió críticas de más de 50 desarrolladores de aplicaciones y mercados, incluidos F-Droid, Brave, The Electronic Frontier Foundation, Proton, The Tor Project, Vivaldi, quienes dicen que corren el riesgo de crear fricciones y barreras de entrada, y plantean preocupaciones sobre privacidad y vigilancia en ausencia de claridad sobre qué información personal deben proporcionar los desarrolladores, cómo se almacenarán, protegerán y utilizarán estos datos, y si podrían estar sujetos a solicitudes gubernamentales o procesos legales.

Como una forma de sofocar algunos de estos problemas espinosos, Google ha enfatizado que el flujo avanzado recientemente desarrollado permite a los usuarios avanzados mantener la capacidad de descargar aplicaciones de desarrolladores no verificados con un proceso único que requiere que sigan los pasos a continuación:

• Habilite el modo desarrollador en la configuración del sistema.
• Confirme que están dando este paso por su propia voluntad y que no están siendo entrenados.
• Reinicie el teléfono y vuelva a autenticarse para evitar que un estafador controle las acciones que está realizando un usuario.
• Espere un período de 24 horas y confirme que realmente están realizando este cambio con autenticación biométrica o PIN del dispositivo.
• Instale aplicaciones de desarrolladores no verificados una vez que los usuarios comprendan los riesgos, ya sea de forma indefinida o por un período de siete días.

«En ese período de 24 horas, creemos que a los atacantes les resulta mucho más difícil persistir en su ataque», dijo el presidente del ecosistema Android, Sameer Samat. citado diciendo a Ars Técnica. «En ese tiempo, probablemente puedas descubrir que tu ser querido no está realmente encarcelado o que tu cuenta bancaria no está realmente bajo ataque».

Google también dijo que planea ofrecer «cuentas de distribución limitada» gratuitas que permitan a los desarrolladores aficionados y estudiantes compartir aplicaciones con hasta 20 dispositivos sin tener que «proporcionar una identificación emitida por el gobierno o pagar una tarifa de registro».

Vale la pena señalar que el proceso antes mencionado no se aplica a las instalaciones a través de Android Debug Bridge (ADB). Las cuentas de distribución limitadas para estudiantes y aficionados, así como el flujo avanzado para usuarios, estarán disponibles en agosto de 2026, antes de que los nuevos requisitos de verificación de desarrolladores entren en vigor el mes siguiente.

«Sabemos que un enfoque de ‘talla única’ no funciona para nuestro ecosistema diverso», dijo Google. «Queremos asegurarnos de que la verificación de identidad no sea una barrera de entrada, por lo que ofrecemos diferentes caminos para satisfacer sus necesidades específicas».

El desarrollo coincide con la aparición de un nuevo malware para Android llamado Perseus que se dirige activamente a usuarios en Turquía e Italia con el objetivo de realizar apropiación de dispositivos (DTO) y fraude financiero.

Durante los cuatro meses, se han detectado al menos 17 familias de malware para Android. Incluyen FvncBot, SeedSnatcher, ClayRat, Wonderland, Cellik, Frogblight, NexusRoute, ZeroDayRAT, Arsink (y su variante mejorada SURXRAT), deVixor, Phantom, Massiv, PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT.

Un actor de amenazas conocido como UNC6426 claves apalancadas robadas tras el compromiso de la cadena de suministro del paquete nx npm el año pasado para violar completamente el entorno de nube de una víctima en un lapso de 72 horas.

El ataque comenzó con el robo del token GitHub de un desarrollador, que luego el actor de la amenaza utilizó para obtener acceso no autorizado a la nube y robar datos.

«El actor de amenazas, UNC6426, luego utilizó este acceso para abusar de la confianza de GitHub-to-AWS OpenID Connect (OIDC) y crear una nueva función de administrador en el entorno de la nube», Google dicho en su Informe Cloud Threat Horizons para el primer semestre de 2026. «Abusaron de esta función para exfiltrar archivos de los depósitos del Servicio de almacenamiento simple (S3) de Amazon Web Services (AWS) del cliente y realizaron la destrucción de datos en sus entornos de producción en la nube».

El ataque a la cadena de suministro dirigido al paquete nx npm tuvo lugar en agosto de 2025, cuando actores de amenazas desconocidos explotaron un flujo de trabajo vulnerable pull_request_target, un ataque tipo referido como Solicitud de Pwn – para obtener privilegios elevados y acceder a datos confidenciales, incluido un GITHUB_TOKEN, y, en última instancia, enviar versiones troyanizadas del paquete al registro npm.

Se descubrió que los paquetes incorporaban un script de postinstalación que, a su vez, lanzaba un Ladrón de credenciales de JavaScript llamado QUIETVAULT para desviar variables de entorno, información del sistema y tokens valiosos, incluidos los tokens de acceso personal (PAT) de GitHub, utilizando como arma una herramienta de modelo de lenguaje grande (LLM) ya instalada en el punto final para realizar la búsqueda. Los datos se cargaron en un repositorio público de GitHub llamado «/s1ngularity-repository-1».

Google dijo que un empleado de la organización víctima ejecutó una aplicación de edición de código que usaba el complemento Nx Console, lo que provocó una actualización en el proceso y resultó en la ejecución de QUIETVAULT.

Se dice que UNC6426 inició actividades de reconocimiento dentro del entorno GitHub del cliente utilizando el PAT robado dos días después del compromiso inicial utilizando una herramienta legítima de código abierto llamada Corriente del Norte para extraer secretos de entornos CI/CD, filtrando las credenciales de una cuenta de servicio de GitHub.

Posteriormente, los atacantes aprovecharon esta cuenta de servicio y utilizaron el parámetro «–aws-role» de la utilidad para generar tokens temporales de AWS Security Token Service (STS) para el rol «Actions-CloudFormation» y, en última instancia, permitirles obtener un punto de apoyo en el entorno AWS de la víctima.

«La función comprometida Github-Actions-CloudFormation era demasiado permisiva», dijo Google. «UNC6426 utilizó este permiso para implementar una nueva pila de AWS con capacidades [«CAPABILITY_NAMED_IAM»,»CAPABILITY_IAM»]. El único propósito de esta pila era crear una nueva función de IAM y adjuntarle la política arn:aws:iam::aws:policy/AdministratorAccess. UNC6426 pasó con éxito de un token robado a permisos completos de administrador de AWS en menos de 72 horas».

Armado con los nuevos roles de administrador, el actor de amenazas llevó a cabo una serie de acciones, incluida la enumeración y el acceso a objetos dentro de los depósitos de S3, la finalización de instancias de producción de Elastic Compute Cloud (EC2) y Relational Database Service (RDS), y descifrado de claves de aplicaciones. En la etapa final, todos los repositorios internos de GitHub de la víctima pasaron a llamarse «/s1ngularity-repository-[randomcharacters]» y hecho público.

Para contrarrestar tales amenazas, se recomienda utilizar administradores de paquetes que impidan scripts posteriores a la instalación o herramientas de sandboxing, aplicar el principio de privilegio mínimo (PoLP) a las cuentas de servicio de CI/CD y roles vinculados a OIDC, aplicar PAT detalladas con ventanas de vencimiento cortas y permisos de repositorio específicos, eliminar privilegios permanentes para acciones de alto riesgo como la creación de roles de administrador, monitorear actividades anómalas de IAM e implementar controles sólidos para detectar riesgos de Shadow AI.

El incidente destaca un caso de lo que Socket ha descrito como un abuso de la cadena de suministro asistido por IA, donde la ejecución se descarga a agentes de IA que ya tienen acceso privilegiado al sistema de archivos, las credenciales y las herramientas autenticadas del desarrollador.

«La intención maliciosa se expresa en mensajes en lenguaje natural en lugar de devoluciones de llamadas de red explícitas o puntos finales codificados, lo que complica los enfoques de detección convencionales», dijo la firma de seguridad de la cadena de suministro de software. dicho. «A medida que los asistentes de IA se integran más en los flujos de trabajo de los desarrolladores, también amplían la superficie de ataque. Cualquier herramienta capaz de invocarlos hereda su alcance».