De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) waarschuwt voor actieve exploitatie van een kritieke kwetsbaarheid in het Langflow-framework, dat wordt gebruikt voor het bouwen van AI-agents. De kwetsbaarheid, geregistreerd als CVE-2026-33017, heeft een kritieke score van 9,3 en maakt remote code execution mogelijk, waardoor kwaadwillenden zonder authenticatie publieke workflows kunnen aanmaken en uitvoeren.

Onderzoekers van Endor Labs melden dat aanvallers al op 19 maart, ongeveer 20 uur na publicatie van het beveiligingsadvies, begonnen met het misbruiken van deze kwetsbaarheid. Dit gebeurde zonder dat er publiekelijk proof-of-concept code beschikbaar was, wat erop wijst dat de aanvallers de exploit direct uit de advisering hebben ontwikkeld. Binnen 24 uur na bekendmaking werden geautomatiseerde scans, exploitatie via Python-scripts en het verzamelen van gevoelige data zoals .env- en .db-bestanden waargenomen.

Langflow is een populair open-source visueel framework met een drag-and-drop interface voor het bouwen van AI-workflows en een REST API voor programmatische uitvoering. Door de brede adoptie binnen de AI-ontwikkelgemeenschap is het een aantrekkelijk doelwit voor aanvallers. Eerder waarschuwde CISA in mei 2025 al voor actieve exploitatie van een andere kritieke kwetsbaarheid in Langflow (CVE-2025-3248) die ongeauthenticeerde remote code execution mogelijk maakte.

De recent ontdekte kwetsbaarheid CVE-2026-33017 treft Langflow-versies 1.8.1 en lager en kan worden misbruikt via een enkele speciaal samengestelde HTTP-aanvraag, vanwege het ontbreken van sandboxing bij de uitvoering van workflows. CISA heeft geen aanwijzingen dat ransomwaregroepen deze kwetsbaarheid gebruiken, maar heeft federale instanties opgedragen om voor 8 april de updates toe te passen, mitigaties te implementeren of het product niet meer te gebruiken.

Beheerders wordt geadviseerd te upgraden naar Langflow versie 1.9.0 of hoger, waarin de kwetsbaarheid is verholpen, of de kwetsbare API-endpoint te blokkeren of beperken. Daarnaast raadt Endor Labs aan Langflow niet direct aan het internet bloot te stellen, uitgaand verkeer te monitoren en API-sleutels, databasegegevens en cloudsecrets te roteren bij verdachte activiteiten. Hoewel de deadline van CISA formeel geldt voor organisaties onder Binding Operational Directive 22-01, wordt ook de private sector en overheden geadviseerd passende maatregelen te nemen.