Langflow: Kritische Sicherheitslücken in KI

Langflow, die beliebte Open-Source-Plattform zur visuellen Erstellung von KI-Workflows und LLM-Agenten, ist in den vergangenen Monaten mehrfach in den Fokus von Cybersecurity-Behörden gerückt. IBM und das Langflow-Entwicklerteam veröffentlichten seit Frühjahr 2026 eine Reihe kritischer Sicherheitswarnungen, die für Unternehmen, die KI-Infrastrukturen betreiben, erhebliche Risiken darstellen.

Mehrere Schwachstellen mit kritischer Bewertung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Cybersicherheitsbehörden warnten wiederholt vor mehreren Schwachstellen in IBM Langflow Desktop und der Open-Source-Version (OSS). Die Sicherheitslücken betreffen Versionen bis einschließlich 1.8.4 und ermöglichen entfernten, anonymen Angreifern weitreichende Angriffe.

Besonders alarmierend ist die Geschwindigkeit der Ausnutzung: Die US-Behörde CISA nahm die Schwachstelle CVE-2026-33017 in ihren Katalog der aktiv ausgenutzten Sicherheitslücken (Known Exploited Vulnerabilities) auf und setzte eine Patch-Frist bis zum 8. April 2026. Sicherheitsforscher von Sysdig dokumentierten, dass erste Angriffe innerhalb von nur 20 Stunden nach Veröffentlichung des Advisories begannen – und das ohne öffentlich verfügbaren Exploit-Code.

Technische Details: Wie die Angriffe funktionieren

Die Schwachstellen nutzen verschiedene Angriffsvektoren aus. CVE-2026-33017 mit einem CVSS-Score von bis zu 9,8 liegt im öffentlich zugänglichen Endpoint build_public_tmp, der absichtlich ohne Authentifizierung arbeitet. Der Endpoint akzeptiert vom Angreifer übermittelte Flow-Daten, die eingebetteten Python-Code enthalten können. Dieser Code wird serverseitig ohne ausreichende Sandboxing-Maßnahmen direkt ausgeführt.

Zusätzlich wurden weitere kritische Lücken gemeldet: CVE-2026-48519 ermöglicht Remote Code Execution (RCE) mit einem CVSS-Score von 9,6, CVE-2026-7524 erlaubt Path-Traversal-Attacken mit anschließendem Zugriff auf Dateiablagen und RCE (CVSS 9,8), und CVE-2026-7528 kann Denial-of-Service-Zustände herbeiführen (CVSS 7,1). Ein entfernter Angreifer kann beliebigen Code ausführen, Daten manipulieren, vertrauliche Informationen offenlegen oder Cross-Site-Scripting-Angriffe durchführen.

Das Post-Exploitation-Muster der Angreifer

Sicherheitsforscher identifizierten ein einheitliches Angriffsmuster über alle beobachteten Attacken hinweg. Die Angreifer führen Shell-Befehle über Pythons os.popen() aus, exfiltrieren die Ausgabe über HTTP an externe Command-and-Control-Infrastruktur und greifen Umgebungsvariablen ab – einschließlich Zugangsdaten und API-Keys. Ein Angreifer ging dabei über das initiale Scanning hinaus und stahl komplette Credentials von kompromittierten Systemen.

Betroffen sind Installationen unter Linux, UNIX und Windows. Langflow ist eine visuelle Schnittstelle zum Erstellen von LLM-basierten Anwendungen mit über 60.000 GitHub-Stars und wachsender Verbreitung in Unternehmen. Viele Instanzen laufen auf Cloud-Servern – teilweise ohne ausreichende Absicherung oder hinter öffentlich erreichbaren Endpoints.

Maßnahmen für betroffene Nutzer

Das Entwicklerteam schließt die Sicherheitslücken mit Version 1.9.2. Alle Anwender sollten umgehend auf diese oder eine höhere Version aktualisieren. Darüber hinaus empfehlen Experten folgende zusätzliche Schritte:

• Prüfen Sie alle öffentlich erreichbaren Langflow-Instanzen auf Kompromittierung
• Betreiben Sie Langflow niemals ohne Authentifizierung und Netzwerksegmentierung
• Rotieren Sie alle Credentials, API-Keys und Datenbankzugänge auf verdächtigen Systemen
• Implementieren Sie verhaltensbasierte Erkennung, die Shell-Ausführung und HTTP-Exfiltration erkennt
• Prüfen Sie bekannte Indicators of Compromise (IOCs) gegen eigene Logs

Fazit

Der Fall Langflow zeigt ein wachsendes Problem in der IT-Landschaft: KI-Tools und LLM-Frameworks werden in Unternehmen ausgerollt – oft schneller, als die Sicherheitsarchitektur hinterherkommt. Die Plattform hat Zugriff auf Datenbanken, API-Keys und interne Systeme, und Instanzen sind teilweise ohne Absicherung aus dem Internet erreichbar. Die Rekordgeschwindigkeit der Ausnutzung von 20 Stunden vom Advisory zum aktiven Angriff macht deutlich, dass klassische Patch-Zyklen nicht mehr ausreichen. Wer KI-Workflows betreibt, muss diese mit denselben Sicherheitsstandards schützen wie jede andere geschäftskritische Infrastruktur.

Quellen und weiterführende Informationen

• CyberSicherheit BW – Teils kritische Schwachstellen in Langflow
• news.de – IT-Sicherheit: Windows bedroht – Neue Sicherheitslücke bei IBM Langflow
• NetMotion – [NEU] [hoch] IBM Langflow Desktop und OSS: Mehrere Schwachstellen
• NEOSEC – Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt
• CTSD – Kritische Langflow-Schwachstelle CVE-2026-33017 erlaubt Code-Ausführung
• GitHub Advisory Database – CVE-2026-3340
• CISA – Known Exploited Vulnerabilities Catalog
• IBM Security Bulletin – Langflow Desktop Sicherheitsupdate