{"id":1152,"date":"2026-06-10T18:39:37","date_gmt":"2026-06-10T18:39:37","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/10\/fallo-de-langflow-sin-parche-cve-2026-5027-explotado-por-rce-no-autenticado-cyberdefensa-mx\/"},"modified":"2026-06-10T18:39:37","modified_gmt":"2026-06-10T18:39:37","slug":"fallo-de-langflow-sin-parche-cve-2026-5027-explotado-por-rce-no-autenticado-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/10\/fallo-de-langflow-sin-parche-cve-2026-5027-explotado-por-rce-no-autenticado-cyberdefensa-mx\/","title":{"rendered":"Fallo de Langflow sin parche CVE-2026-5027 explotado por RCE no autenticado \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Una falla de seguridad de alta gravedad sin parches en Langflow, una plataforma de c\u00f3digo bajo y de c\u00f3digo abierto para crear aplicaciones de inteligencia artificial (IA), ha sido explotada activamente en la naturaleza, seg\u00fan recomendaciones<\/a> de VulnCheck.<\/p>\n

La vulnerabilidad en cuesti\u00f3n es CVE-2026-5027<\/a> (Puntuaci\u00f3n CVSS: 8,8), un caso de recorrido de ruta que podr\u00eda permitir a un atacante escribir archivos en ubicaciones arbitrarias.<\/p>\n

\u00abEl punto final ‘POST \/api\/v2\/files’ no desinfecta el par\u00e1metro ‘nombre de archivo’ de los datos del formulario de varias partes, lo que permite a un atacante escribir archivos en ubicaciones arbitrarias en el sistema de archivos usando secuencias de recorrido de ruta (‘..\/’)\u00bb, Tenable, que descubri\u00f3 la falla, dicho<\/a> en una alerta publicada a finales de marzo de 2026.<\/p>\n

La empresa de ciberseguridad dijo que intent\u00f3 ponerse en contacto con los encargados del proyecto tres veces en enero y febrero de 2026, antes de revelar detalles del problema el 27 de marzo.<\/p>\n

Caitlin Condon, vicepresidenta de investigaci\u00f3n de seguridad de VulnCheck, dijo en una publicaci\u00f3n de LinkedIn que la vulnerabilidad permite la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abDebido a que Langflow permite el inicio de sesi\u00f3n autom\u00e1tico no autenticado de forma predeterminada, no se requieren credenciales para llegar al punto final vulnerable, y una sola solicitud no autenticada es suficiente para obtener un token de sesi\u00f3n v\u00e1lido antes de continuar con la explotaci\u00f3n\u00bb, agreg\u00f3 Condon.<\/p>\n

Hasta ahora, los esfuerzos de explotaci\u00f3n parecen convertir el error en un arma para escribir archivos de prueba en los sistemas v\u00edctimas. Los datos de Censys muestran que hay alrededor de 7.000 instancias de Langflow expuestas p\u00fablicamente en Internet, la mayor\u00eda de ellas ubicadas en Am\u00e9rica del Norte.<\/p>\n

El esfuerzo de ataque sigue a una oleada de actividad de explotaci\u00f3n dirigida a otras vulnerabilidades de Langflow este a\u00f1o, incluyendo CVE-2026-0770<\/a>CVE-2026-33017, CVE-2026-21445<\/a>y CVE-2025-34291, el \u00faltimo de los cuales ha sido convertido en arma por el grupo patrocinado por el estado iran\u00ed conocido como MuddyWater.<\/p>\n

\u00abLa actividad subraya una tendencia creciente de atacantes que apuntan a la infraestructura y las herramientas que las organizaciones utilizan para construir e implementar aplicaciones de IA\u00bb, dijo la compa\u00f1\u00eda en un comunicado compartido con The Hacker News.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Una falla de seguridad de alta gravedad sin parches en Langflow, una plataforma de c\u00f3digo bajo y de c\u00f3digo abierto para crear aplicaciones de inteligencia artificial (IA), ha sido explotada activamente en la naturaleza, seg\u00fan recomendaciones de VulnCheck. La vulnerabilidad en cuesti\u00f3n es CVE-2026-5027 (Puntuaci\u00f3n CVSS: 8,8), un caso de recorrido de ruta que podr\u00eda […]<\/p>\n","protected":false},"author":1,"featured_media":1058,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[993,3035,24,66,990,1119,290,127,779,716],"class_list":["post-1152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-autenticado","tag-cve20265027","tag-cyberdefensa-mx","tag-explotado","tag-fallo","tag-langflow","tag-parche","tag-por","tag-rce","tag-sin"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1152"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/1058"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}