Atacantes começaram a explorar uma vulnerabilidade de alta severidade na popular plataforma de desenvolvimento de IA low-code Langflow, segundo a VulnCheck.
Rastreada como CVE-2026-5027 (nota 8,8 no Sistema de Pontuação de Vulnerabilidades Comuns — CVSS), a falha de segurança é descrita como um problema de travessia de diretórios (path traversal) que permite que atacantes gravem arquivos em locais arbitrários do sistema.
"O endpoint 'POST /api/v2/files' não sanitiza o parâmetro 'filename' dos dados do formulário multipart, permitindo que um atacante grave arquivos em locais arbitrários do sistema de arquivos usando sequências de travessia de diretórios ('../')", diz um aviso do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST).
A exploração bem-sucedida da falha permite que atacantes não autenticados executem código arbitrário em instâncias vulneráveis, alertou Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck.
"A falha pode permitir a execução remota de código (RCE) e, como o Langflow habilita o login automático não autenticado por padrão, os atacantes podem acessar o endpoint vulnerável sem credenciais", afirmou a VulnCheck ao SecurityWeek.
Atacantes podem enviar uma única requisição não autenticada para obter um token de sessão válido e, em seguida, prosseguir para explorar a CVE-2026-5027, disse a empresa.
Segundo a VulnCheck, as tentativas de exploração observadas em ambiente real conseguiram aproveitar a travessia de diretórios para depositar arquivos de teste nos sistemas das vítimas.
A superfície de ataque potencial parece ampla, com aproximadamente 7.000 instâncias do Langflow acessíveis pela internet, a maioria delas na América do Norte.
"A atividade destaca uma tendência crescente de atacantes mirarem na infraestrutura e nas ferramentas que as organizações usam para construir e implantar aplicações de IA", afirmou a VulnCheck.
A CVE-2026-5027 foi divulgada publicamente em 27 de março pela Tenable, após uma série de tentativas de divulgação frustradas.
O SecurityWeek entrou em contato com o Langflow por e-mail e atualizará este artigo caso a empresa se pronuncie.
