Uma vulnerabilidade grave no Langflow, plataforma de design visual para cadeias baseadas em LLMs, está sendo explorada ativamente. Identificada como CVE-2025-3248 e com pontuação CVSS de 9,8, a falha permite que qualquer usuário remoto execute código arbitrário por meio de requisições HTTP manipuladas. O problema decorre da ausência de autenticação no endpoint /api/v1/validate/code, que utiliza a função exec() em Python diretamente sobre entradas não validadas.
Leia também
Malware se disfarça como protetor do WordPress
Commvault divulga falha zero-day explorada
A brecha afeta praticamente todas as versões do Langflow lançadas até março de 2025. Apenas a versão 1.3.0, publicada em 31 de março, contém a correção com os devidos mecanismos de proteção. A falha foi inicialmente divulgada em fevereiro, mas o cenário se agravou após a publicação de um exploit funcional no início de abril.
De acordo com dados da Censys, 466 instâncias públicas do Langflow estão ativas na internet, principalmente em países como Estados Unidos, Alemanha, Singapura, Índia e China. Ainda não há informações concretas sobre os grupos responsáveis pelos ataques nem sobre seus objetivos, mas a ampla exposição e o potencial de dano preocupam a comunidade de segurança.
Especialistas da Zscaler apontam que o caso ilustra os riscos de executar código do usuário sem autenticação ou isolamento, sobretudo em serviços acessíveis pela web. O uso direto de exec() sem sandboxing ou qualquer tipo de filtragem representa uma violação grave de boas práticas de segurança em desenvolvimento.
Langflow, apesar de ser uma ferramenta poderosa para prototipagem e orquestração de modelos de linguagem, teve sua principal funcionalidade transformada em vetor de ataque. O incidente reforça a importância de revisar a arquitetura de aplicações voltadas à IA, garantindo que recursos de personalização não se convertam em portas abertas para invasores.
