Cacat keamanan kritis yang baru-baru ini diungkapkan yang berdampak pada platform Langflow open-source telah ditambahkan ke katalog kerentanan yang diketahui dieksploitasi (KEV) oleh Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA), mengutip bukti eksploitasi aktif.
Kerentanan, dilacak sebagai CVE-2025-3248membawa skor CVSS 9,8 dari maksimum 10,0.
“Langflow berisi kerentanan otentikasi yang hilang di titik akhir/API/V1/Validasi/kode yang memungkinkan penyerang jarak jauh dan tidak terautentikasi untuk menjalankan kode sewenang -wenang melalui permintaan HTTP yang dibuat,” kata CISA.
Secara khusus, titik akhir telah ditemukan untuk secara tidak benar memohon fungsi python built-in () pada kode yang disediakan pengguna tanpa otentikasi atau kotak pasir yang memadai, sehingga memungkinkan penyerang untuk menjalankan perintah sewenang-wenang di server.
Kekurangan, yang memengaruhi sebagian besar versi alat populer, telah dibahas dalam versi 1.3.0 yang dirilis pada 31 Maret 2025. Horizon3.ai telah dikreditkan dengan menemukan dan melaporkan cacat pada bulan Februari.
Menurut perusahaan, kerentanan itu “mudah dieksploitasi” dan memungkinkan penyerang jarak jauh yang tidak aautentikasi untuk mengendalikan server Langflow. Eksploitasi Proof-of-Concept (POC) sejak itu telah tersedia untuk umum pada 9 April 2025, oleh peneliti lain.
Data dari Platform Manajemen Permukaan Serangan Sensys menunjukkan bahwa ada 466 instance Langflow yang terpapar internet, dengan mayoritas dari mereka terkonsentrasi di Amerika Serikat, Jerman, Singapura, India, dan Cina.
Saat ini tidak diketahui bagaimana kerentanan dilecehkan dalam serangan dunia nyata, oleh siapa, dan untuk tujuan apa. Lembaga Cabang Eksekutif Sipil Federal (FCEB) memiliki waktu hingga 26 Mei 2025, untuk menerapkan perbaikan.
“CVE-2025-3248 menyoroti risiko mengeksekusi kode dinamis tanpa langkah otentikasi dan kotak pasir yang aman,” kata Zscaler bulan lalu. “Kerentanan ini berfungsi sebagai pengingat kritis bagi organisasi untuk mendekati fitur validasi kode dengan hati-hati, terutama dalam aplikasi yang terpapar ke Internet.”
