Radar Una vulnerabilidad ya parcheada sigue poniendo en riesgo a miles de instancias de Langflow
A pesar del parche lanzado en abril, alrededor de 7 000 despliegues de Langflow siguen expuestos a una falla de ruta transversal que permite escritura arbitraria y ejecución remota de código.
El framework open source Langflow, usado para diseñar agentes de IA y flujos de trabajo mediante una interfaz visual, sigue siendo objetivo de ataques aunque el problema ya tiene parche. La CVE‑2026‑5027, catalogada con una puntuación CVSS de 8,8, permite a un atacante aprovechar una validación insuficiente del parámetro «filename» en el endpoint POST /api/v2/files. Al enviar secuencias como "../", el atacante puede escribir archivos fuera del directorio de descargas y, bajo ciertas condiciones, lograr la ejecución de código remoto.
El problema surge porque la lógica que maneja los archivos descargados no comprueba que el nombre enviado corresponda a una ruta interna segura. Un exploit público disponible en GitHub muestra cómo colocar scripts o binarios en ubicaciones críticas del sistema, modificar archivos de inicio o de tareas programadas, e incluso iniciar un shell con los privilegios del proceso que ejecuta Langflow. Cuando la función de “auto‑login” está activada, el atacante no necesita credenciales; basta con una única petición para tomar el control total del contenedor o máquina donde se ejecuta la aplicación.
Según la Cloud Security Alliance, aproximadamente 7 000 instancias de Langflow están accesibles desde Internet, lo que las coloca en la mira de grupos de amenaza. Entre los actores identificados, el equipo iraní MuddyWater ha sido vinculado a intentos de inyección de archivos contra sistemas vulnerables. La publicación del código de explotación reduce la barrera de entrada para hackers oportunistas que buscan ampliar su superficie de ataque a través de herramientas de IA que se despliegan rápidamente sin la dureza propia de una aplicación empresarial.
Langflow alcanzó popularidad por su bajo código y su capacidad de generar pipelines RAG y agentes basados en el modelo context protocol (MCP) con simples arrastrar‑y‑soltar. Sin embargo, esa facilidad también ha llevado a empresas a lanzar la herramienta con configuraciones predeterminadas, sin endurecer autenticación ni restringir el acceso a direcciones IP privadas. Jim Sherlock, vicepresidente de I+D en ciberseguridad de ProCircular, señala que muchas organizaciones adoptaron Langflow, Flowise, n8n y Dify antes de 2025 como prototipos, sin aplicar los controles habituales de seguridad que sí se exigen a aplicaciones web de producción.
El parche llegó con la versión 1.9.0, publicada el 15 de abril, 73 días después de que el investigador EQST Lab notificara la vulnerabilidad al proyecto. Las versiones posteriores, incluida la actual 1.10.0, incorporan la corrección. Sin embargo, la velocidad de adopción del fix parece ser lenta. La propia comunidad de Langflow no ha respondido a la solicitud de comentarios de la revista Le Monde Informatique, lo que dificulta confirmar cuántos usuarios ya han actualizado.
Para los responsables de infraestructura, la recomendación inmediata es revisar los despliegues de Langflow y aplicar la actualización a la versión 1.9.0 o superior. Si la actualización no es posible por dependencia de versiones, se debe desactivar la característica de auto‑login y restringir el endpoint de carga de archivos mediante un proxy que valide estrictamente el nombre del fichero. Además, es conveniente mover las instancias a redes privadas o, al menos, limitar el acceso a direcciones IP confiables.
El caso de Langflow no es aislado. En los últimos meses, LangChain también sufrió vulnerabilidades críticas y Flowise mostró una falla grave en su módulo MCP que permitía ejecución remota a través de configuraciones manipuladas. La tendencia indica que los kits de desarrollo low‑code para IA están atrayendo la atención de actores maliciosos, pues combinan rapidez de implementación con una superficie de ataque amplia y, a menudo, configuraciones poco reforzadas.
Desde la perspectiva de negocio, la exposición de Langflow implica que una brecha podría comprometer datos sensibles procesados por los modelos de IA, alterar la lógica de los flujos y, en el peor de los casos, proporcionar una puerta de entrada a sistemas internos. La pérdida de confianza de clientes y socios, sumada a posibles sanciones regulatorias por manejo indebido de información, justifica que la actualización y el endurecimiento de la seguridad pasen a prioridad en la hoja de ruta de cualquier proyecto que dependa de estas herramientas.
En un entorno donde la IA se vuelve cada vez más central, la velocidad de adopción no debe traducirse en descuido de los fundamentos de ciberseguridad. Cada componente que se añade al stack tecnológico es una nueva superficie que los atacantes pueden explorar. La experiencia con Langflow muestra que, aun cuando el parche exista, la responsabilidad de proteger el activo recae en la organización que lo opera.
Finalmente, la comunidad de desarrolladores de IA tiene una oportunidad: al compartir públicamente los hallazgos y las pruebas de concepto, como hizo EQST Lab, se acelera la detección y corrección de fallas. Pero esa misma transparencia también facilita que actores externos reproduzcan el ataque. El equilibrio entre divulgación responsable y seguridad operativa será crucial para que la innovación no se quede a la zaga de la exposición a amenazas.
