Šta se desilo?

Otkrivena je kritična sigurnosna ranjivost u Langflow aplikaciji (CVE-2026-5027) koja omogućava napadačima da izvršavaju proizvoljan kod na zahvaćenim sistemima. Problem je lociran u funkcionalnosti učitavanja fajlova gde nedostaje pravilna validacija unosa, što omogućava path-traversal napade i pisanje fajlova na nedozvoljene lokacije na serveru.

Koga pogađa?

Organizacije i korisnici koji koriste Langflow, posebno oni koji imaju aplikaciju dostupnu na internetu ili je koriste u produkcijskom okruženju. Žrtve mogu biti razne - od malih startupa do većih preduzeća koja se oslanjaju na ovaj alat za svoje operacije.

Kako se zaštititi?

  • Odmah ograničite pristup /api/v2/files endpointu na samo dozvoljene korisnike
  • Primените strogu validaciju unosa za sve parametre koji se koriste pri rukovanju fajlovima
  • Implementirajte monitoring sistema za detektovanje osumnjive aktivnosti sa fajlovima
  • Redovno pregledavajte logove servera za znakove pokušaja eksploatacije
  • Čekajte oficijalni patch od proizvođača i primenite ga čim bude dostupan
  • Ako je moguće, privremeno onemogućite funkcionalnost upload-a dok nije dostupna zakrpa

Tehnički detalji

Ranjivost je označena kao CVE-2026-5027 i ima CVSS v3 skor od 8.8, što ukazuje na visok nivo rizika. Vulnerability je locirana u POST /api/v2/files endpointu gde parametar filename iz multipart form-data nije pravilno sanitizovan. Napadač može koristiti path-traversal sekvence kao što su ../ da napišu fajlove na proizvoljne lokacije, što može dovesti do remote code execution (RCE). Napad zahteva minimalne privilegije i nema potrebe za interakcijom korisnika, što čini eksploataciju jednostavnijom. Tenable advisory je označen kao TRA-2026-26.

Preporuka Sajber Radara

Ova ranjivost se aktivno eksploatiše u divljem svetu i predstavlja ozbiljan rizik. Iako proizvođač nije izdao patch u trenutku objave, preporučujemo svim korisnicima Langflow-a da hitno pregledu svoje deployment konfiguracije i primene dostupne mitigacijske mere dok čekate oficijalni update.