Langflow es un componente de python diseñado para simplificar la creación y gestión de flujos de modelos de lenguaje. Proporciona una interfaz fácil de usar para construir modelos de lenguaje complejos, lo que facilita su integración en diversas aplicaciones.

¿Qué es la ejecución remota de código (RCE)?

La ejecución remota de código (RCE) es una vulnerabilidad que permite a un atacante ejecutar código arbitrario en un sistema objetivo desde una ubicación remota. Esto puede llevar a la completa vulneración del sistema, incluyendo el robo de datos, la instalación de malware y la denegación de servicio.

¿Qué es el path traversal?

El path traversal es una vulnerabilidad de seguridad que permite a un atacante acceder a archivos y directorios fuera del directorio raíz previsto. Al manipular las rutas de los archivos, un atacante puede leer archivos confidenciales, ejecutar código arbitrario o sobrescribir archivos críticos del sistema.

¿Cómo actualizo Langflow?

Puede actualizar Langflow utilizando el gestor de paquetes pip. Ejecute el comando `pip install --upgrade langflow` para instalar la última versión de Langflow, que incluye los parches de seguridad necesarios.

Vulnerabilidades Críticas en Langflow Han Sido Parcheadas

Se han descubierto múltiples vulnerabilidades críticas en Langflow, un componente de python. Estas vulnerabilidades incluyen la ejecución remota de código no autenticada y el path traversal, lo que podría llevar a la completa vulneración del servidor. Los parches están disponibles; los usuarios deben actualizar inmediatamente para mitigar estos riesgos.

Estas vulnerabilidades tienen puntuaciones CVSS de hasta 9.8, lo que indica una gravedad crítica.

¿Qué es Langflow?

Langflow es un componente para python que simplifica la construcción de flujos LLM personalizados. Proporciona una interfaz fácil de usar para crear y gestionar modelos de lenguaje complejos. Para obtener más información, puede buscar todos los CVE de langflow.

CVE-2025-3248: Ejecución Remota de Código No Autenticada en Langflow

CVSS9.5

Versiones afectadasLas instancias de Langflow que ejecutan las versiones 1.2.0 o anteriores están afectadas.

CISA KEV

Gravedad crítica: permite la ejecución remota de código sin autenticación.

Con una puntuación EPSS del 92.5%, es muy probable que esta vulnerabilidad sea explotada.

Esta vulnerabilidad está listada en el catálogo de Vulnerabilidades Explotadas Conocidas de CISA.

Las versiones de Langflow anteriores a la 1.3.0 son susceptibles a la inyección de código en el endpoint `/api/v1/validate/code`. Un atacante no autenticado puede enviar peticiones HTTP manipuladas para ejecutar código arbitrario en el servidor.

Cómo solucionar CVE-2025-3248 en Langflow

Parchear ahora

1.Actualice Langflow a la versión 1.3.0 o posterior.

Actualizar Langflow

pip install --upgrade langflow

Solución temporal: No existen soluciones alternativas conocidas además de la actualización.

NextGuard marca automáticamente CVE-2025-3248 si Langflow aparece en cualquiera de sus proyectos monitorizados; no se requiere búsqueda manual.

CVE-2026-33017: Ejecución Remota de Código No Autenticada en Langflow a través del Endpoint de Construcción de Flujo Público

CVSS9.8

Versiones afectadasLas instancias de Langflow que ejecutan las versiones 1.8.2 o anteriores con al menos un flujo público son vulnerables.

CISA KEV

Gravedad crítica: permite la ejecución remota de código no autenticada.

Con una puntuación EPSS del 6.1%, la explotación es posible.

Esta vulnerabilidad está listada en el catálogo de Vulnerabilidades Explotadas Conocidas de CISA.

El endpoint `POST /api/v1/build_public_tmp/{flow_id}/flow` permite la construcción de flujos públicos sin autenticación, lo que lleva a la ejecución remota de código. Un atacante puede proporcionar datos de flujo maliciosos que contengan código Python arbitrario, que luego se ejecuta sin sandboxing.

Cómo solucionar CVE-2026-33017 en Langflow

Parchear ahora

1.Actualice Langflow a la versión 1.9.0 o posterior.

Actualizar Langflow

pip install --upgrade langflow

Solución temporal: Como solución a corto plazo, elimine el parámetro `data` del endpoint `build_public_tmp`.

NextGuard marca automáticamente CVE-2026-33017 si Langflow aparece en cualquiera de sus proyectos monitorizados.

CVE-2026-33497: Vulnerabilidad de Path Traversal en Langflow

CVSS7.5

Versiones afectadasLas instancias de Langflow que ejecutan las versiones 1.7.0 o anteriores están afectadas.

Gravedad alta: permite la lectura de archivos arbitrarios en el servidor.

Con una puntuación EPSS del 0.01%, la explotación es poco probable.

Existe una vulnerabilidad de path traversal en el endpoint `/profile_pictures/{folder_name}/{file_name}`, que permite a los atacantes no autenticados leer archivos arbitrarios. Al manipular los parámetros `folder_name` y `file_name`, un atacante puede acceder a archivos confidenciales, incluida la clave secreta.

Cómo solucionar CVE-2026-33497 en Langflow

Parchear en 7 días

1.Actualice Langflow a la versión 1.7.1 o posterior.

Actualizar Langflow

pip install --upgrade langflow

Solución temporal: Restrinja el acceso a la red al endpoint `/api/v1/files/profile_pictures/`. Rote la `secret_key` si se sospecha de exposición.

Manténgase al tanto de las vulnerabilidades de python

Detecte y corrija de forma proactiva vulnerabilidades como estas utilizando una solución de monitorización integral. Empiece a monitorizar sus dependencias de python hoy mismo.

Comparar Soluciones

Preguntas frecuentes

Estas vulnerabilidades resaltan la importancia de mantener sus dependencias actualizadas. Regularmente vea todas las vulnerabilidades de python y aplique los parches de seguridad con prontitud para proteger sus sistemas de posibles ataques.

Temas relacionados

remote code executionpath traversalpythonvulnerability managementdependency scanning