Kritische Langflow-Schwachstelle ermöglicht Ausführung bösartiger Code

Diese Lücke ermöglicht Pfadtraversierungsangriffe, die es böswilligen Akteuren erlauben, Dateien an beliebige Speicherorte im Dateisystem des Servers zu schreiben. Der betroffene Endpunkt ist das POST /api/v2/files. Hier wird der Parameter für den Dateinamen aus den multipart-Formdaten nicht korrekt bereinigt.

Durch die Manipulation „../" können Angreifer Dateien an unbeabsichtigte Orte im Server-Dateisystem schreiben. In realen Szenarien kann dieses Verhalten missbraucht werden, um kritische Systemdateien zu überschreiben oder bösartige Payloads einzufügen.

Dies führt in der Folge zur Ausführung, dass die Schwachstelle aufgrund ihrer geringen technischen Komplexität und des netzwerkbasierten Angriffsvektors als besonders gefährlich einzustufen ist. Laut dem Sicherheitsadvisory (Referenz: TRA-2026-26) weist die Lücke einen CVSS v3-Score von 8,8 auf. Dieser Wert stuft die Schwere der Schwachstelle als hoch ein.

Sicherheitslage und Risiko

Der erfolgreiche Angriff erfordert lediglich minimale Berechtigungen und keine Interaktion durch einen legitimen Benutzer, was die Ausnutzung in exponierten Umgebungen erheblich erleichtert. Teams für Bedrohungsintelligenz und Exploit-Tracking haben das Problem bereits als Hochrisiko eingestuft.

Hinweise aus Diskussionen auf LinkedIn, die mit VulnCheck verknüpft sind, deuten darauf hin, dass Angreifer die Langflow-Pfadtraversierungs-Lücke aktiv ausnutzen, um auf exponierten Instanzen Remote-Code auszuführen.

Diese frühen Indizien für eine tatsächliche Ausnutzung legen nahe, dass opportunistisches Scannen und automatisierte Angriffe zunehmen werden, sobald Proof-of-Concept-Code in den Communities wird. Das Problem wurde ursprünglich vom Sicherheitsforscher Joshua Martinelle entdeckt und gemeldet. Trotz mehrerer Offenlegungsversuche, die am 20.

Sicherheitslage und Risiko

Januar 2026 begannen, reagierte der Anbieter nicht innerhalb des erwarteten Zeitrahmens. Nachfolgende Kommunikationen wurden am 27. Januar sowie am 4. Februar versendet. Am 23. März erging eine letzte Mitteilung, wonach die Sicherheitswarnung veröffentlicht werden würde. Die Schwachstelle wurde offiziell am 27. März 2026 offengelegt.

Zum Zeitpunkt der offiziellen Offenlegung war noch kein offizielles Patch oder eine technische Behebung für die Lücke veröffentlicht worden. Dieses Fehlen einer schnellen Reaktion erhöht das Risiko für Organisationen, die Langflow einsetzen, erheblich.

Dies gilt insbesondere für Einrichtungen, die die Anwendung dem Internet aussetzen oder in Produktionsumgebungen integriert haben. Sicherheitsteams werden dringend aufgefordert, vorübergehende Gegenmaßnahmen umzusetzen.

Technischer Hintergrund

Dazu gehören die Einschränkung des Zugriffs auf den anfälligen Endpunkt, die Implementierung strengerer Eingabevalidierungsmechanismen sowie die verstärkte Überwachung der Systeme auf verdächtige Dateiaktivitäten.

Das Fehlen einer zeitnahen Reaktion des Anbieters wirft zudem ernsthafte Bedenken hinsichtlich der Prozesse im Patch-Management und der koordinierten Offenlegung ücken auf.

Während Tenable seinen Einsatz für eine verantwortungsvolle Offenlegung und eine schnelle Reaktion betont, verdeutlicht dieser Fall die Risiken verzögerter Sanierungen in weit verbreiteten Tools.

Sicherheitslage und Risiko

Aufgrund der Art der Schwachstelle können Angreifer diese Lücke potenziell mit anderen Sicherheitslücken kombinieren, um Privilegien zu eskalieren oder eine dauerhafte Präsenz (Persistenz) in kompromittierten Systemen herzustellen. Organisationalen wird empfohlen, die Bedrohungsjagd und die Analyse, um Anzeichen ühzeitig zu erkennen.

Nutzer, ihre aktuellen Bereitstellungen zu überprüfen, die Angriffsfläche zu begrenzen und sicherzustellen, dass sie über zukünftige Sicherheitspatches oder Warnhinweise des Herstellers informiert sind. Zusätzliche technische Details und Updates finden sich im offiziellen Langflow-Repository sowie auf den Seiten für Sicherheitswarnungen.

Da sich die Ausnutzungsrisiken weiter verschärfen, dient diese Schwachstelle als Mahnung für die Bedeutung sicherer Codierungspraktiken, insbesondere im Bereich der Dateiverarbeitung und der Eingabevalidierung. ### SvyTech-Einordnung Die Kombination aus einem hohen CVSS-Score von 8,8 und dem dokumentierten Fehlen eines Patches zum Zeitpunkt der Offenlegung stellt ein kritisches Risiko dar.

Technischer Hintergrund

Die Verzögerung zwischen der ersten Meldung im Januar und der offiziellen Veröffentlichung im März, ohne dass eine Behebung bereitstand, unterstreicht die Dringlichkeit für Betreiber, sofort manuelle Schutzmaßnahmen wie Zugriffsbeschränkungen und Input-Validierung zu implementieren, bis der Hersteller eine Lösung liefert. ### Was Leser daraus mitnehmen Organisationalen, die Langflow in produktiven oder internetexponierten Umgebungen nutzen, sollten umgehend ihre Sicherheitskonfiguration überprüfen.

Es ist ratsam, den Zugriff auf den betroffenen Datei-Endpunkt einzuschränken und die Systeme auf verdächtige Schreibzugriffe zu überwachen, da Angreifer bereits aktiv nach Schwachstellen suchen.