CISA fügt Schwachstelle in Langflow-Origin-Validierung zum Katalog bekannt ausgenutzter Sicherheitslücken hinzu

Organisationen, die das Tool einsetzen, müssen daher unverzüglich Gegenmaßnahmen ergreifen. Langflow ist eine weit verbreitete Software zur Erstellung und Bereitstellung ützten Workflows. Die Sicherheitslücke entsteht durch einen Fehler bei der Validierung des Ursprungs (Origin Validation).

Konkret liegt dies an einer zu großzügigen Konfiguration der Cross-Origin Resource Sharing (CORS)-Einstellungen. In Kombination mit einem Refresh-Token-Cookie, das auf „SameSite=None" eingestellt ist, ermöglichen diese Fehleinstellungen böswilligen Webseiten, authentisierte Anfragen aus dem Browser des Opfers herauszuführen.

Angreifer können diese Schwachstelle nutzen, um nicht autorisierte Anfragen an das Backend zu senden und sensible Refresh-Tokens zu stehlen. Damit haben sie die Möglichkeit, neue Zugriffstoken zu generieren, den Zugriff dauerhaft aufrechtzuerhalten und Berechtigungen im System zu eskalieren.

Sicherheitslage und Risiko

Im schlimmsten Fall führt dies zur vollständigen Kompromittierung des Systems. Besonders gefährlich ist dies in Umgebungen, in denen Langflow in KI-Pipelines, APIs oder cloudbasierte Dienste integriert ist. Die Schwachstelle wird der Kategorie CWE-346 (Fehlerhafte Validierung des Ursprungs) zugeordnet.

Ein Angreifer kann einen Benutzer dazu verleiten, eine bösartige Webseite aufzurufen. Aufgrund der fehlerhaften CORS-Richtlinie sendet der Browser des Opfers automatisch Authentifizierungsdaten bei Anfragen an andere Domains mit.

So kann der Angreifer ohne Wissen des Benutzers stillschweigend mit der Langflow-API interagieren, insbesondere mit dem Endpunkt zur Token-Erneuerung. Am 21. Mai 2026 hat die CISA CVE-2025-34291 offiziell in den KEV-Katalog aufgenommen.

Sicherheitslage und Risiko

Die Behörde bestätigt, dass diese Lücke eine erhebliche Bedrohung für Systeme der Bundesregierung und örden des zivilen Exekutivzweigs der Bundesregierung (FCEB) sind gemäß der verbindlichen operativen Direktive (BOD) 22-01 verpflichtet, die Schwachstelle bis zum festgelegten Fristtermin zu beheben.

Die CISA empfiehlt Organisationen dringend, folgende Schritte einzuleiten: * Sofortige Installation bereitgestellter Patches oder Updates des Herstellers. * Überprüfung und Einschränkung der CORS-Konfigurationen auf vertrauenswürdige Ursprünge. * Verzicht auf die Einstellung „SameSite=None" für sensible Authentifizierungs-Cookies, sofern dies nicht absolut notwendig ist. * Implementierung zusätzlicher Schutzmaßnahmen wie CSRF-Token und eine strenge Validierung des Ursprungs. * Überwachung ächtige Cross-Origin-Anfragen und Token-Missbrauch. * Einstellung der Nutzung, solange keine Gegenmaßnahmen verfügbar sind.

Organisationen, die Langflow in Produktionsumgebungen betreiben, insbesondere bei der Verarbeitung sensibler Daten oder KI-Arbeitsabläufen, sollten diese Schwachstelle als höchste Priorität behandeln. Die Aufnahme in den KEV-Katalog unterstreicht das wachsende Risiko falsch konfigurierter Web-Sicherheitskontrollen in modernen Anwendungen.

Da Plattformen wie Langflow zunehmend an Bedeutung gewinnen, richten sich Angreifer vermehrt auf Schwachstellen in Authentifizierungsabläufen und der API-Sicherheit aus. Sicherheitsteams sollten CVE-2025-34291 als hochprioritäres Problem betrachten und schnelle Gegenmaßnahmen umsetzen, um unbefugten Zugriff und Sicherheitsverletzungen zu verhindern.