Uma falha de path traversal no Langflow, plataforma open-source para construção de aplicações de IA, está sendo explorada ativamente por atacantes que conseguem executar código remoto sem necessidade de autenticação. O CVE-2026-5027, com CVSS 8,8, afeta o endpoint de upload de arquivos e foi divulgado após os mantenedores ignorarem múltiplas tentativas de contato da Tenable Research em janeiro de 2026.
O que é o CVE-2026-5027
A vulnerabilidade reside no endpoint POST /api/v2/files do Langflow, que não sanitiza o parâmetro filename em dados multipart. Isso permite que um atacante use sequências de traversal como ../ para gravar arquivos em diretórios arbitrários do servidor. Como o Langflow ativa auto-login sem autenticação por padrão, basta uma única requisição não autenticada para obter um token de sessão válido e prosseguir com a exploração, resultando em execução remota de código.
A falha foi descoberta pela Tenable Research em janeiro de 2026 e reportada três vezes aos mantenedores do projeto entre janeiro e fevereiro, sem obter resposta. A divulgação pública ocorreu em 27 de março de 2026. O Snyk Security informou que a correção foi disponibilizada no pacote langflow-base versão 0.8.3 e na aplicação Langflow na versão 1.9.0.
| Versão afetada | Componente | Versão corrigida |
|---|---|---|
| Antes de 0.8.3 | langflow-base | 0.8.3 |
| Antes de 1.9.0 | Langflow | 1.9.0+ |
| Todas as anteriores | Auto-login padrão | Desativar ou restringir |
Exploração ativa detectada
Honeypots da VulnCheck detectaram ataques em andamento que utilizam o CVE-2026-5027 para gravar arquivos de teste em servidores vulneráveis. Segundo Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck, a exploração permite execução remota de código completa. Dados da Censys indicam que aproximadamente 7.000 instâncias do Langflow estão expostas publicamente na internet, a maioria na América do Norte.
Esta não é a primeira vez que o Langflow é alvo. Em 2026, outras vulnerabilidades da plataforma foram exploradas, incluindo CVE-2026-0770, CVE-2026-33017 e CVE-2026-21445. O grupo estatal iraniano MuddyWater já utilizou o CVE-2025-3248 do Langflow em campanhas de ataque, e a VulnCheck continua detectando atividade ligada a esse grupo. O cenário reforça a tendência de atores de ameaças cada vez mais direcionados à infraestrutura de ferramentas de IA.
Plataformas de IA como alvo
O Langflow acumula mais de 149.000 estrelas e 9.200 forks no GitHub, sendo amplamente adotado por equipes de desenvolvimento de IA para construir agentes, sistemas RAG e workflows com interface drag-and-drop. Essa popularidade combinada com configurações padrão inseguras — como o auto-login sem autenticação — cria uma superfície de ataque atrativa para grupos sofisticados. A facilidade de exploração sem credenciais agrava o risco, especialmente em instâncias expostas à internet sem restrições de acesso.
A Tenable emitiu o alerta técnico TRA-2026-26 com detalhes completos da vulnerabilidade e recomendações de mitigação. A versão mais recente do Langflow, 1.10.0, inclui correções de segurança críticas e deve ser considerada obrigatória para qualquer implantação em produção.
O que fazer agora
- Atualizar o Langflow imediatamente para a versão 1.10.0 ou superior
- Desativar o auto-login padrão e implementar autenticação robusta em todas as instâncias
- Restringir o acesso ao endpoint
/api/v2/filespor meio de firewall ou reverse proxy - Monitorar logs do servidor em busca de requisições com sequências
../no parâmetro filename - Verificar se instâncias do Langflow estão expostas à internet pública sem necessidade
- Auditar arquivos criados recentemente no servidor em busca de indicadores de comprometimento