CVE-2026-33017: Kritische Langflow-Schwachstelle wird innerhalb von Stunden ausgenutzt

KI-Tooling als Einfallstor: Langflow im Fadenkreuz

Die US-amerikanische Cybersecurity-Behörde CISA hat die Schwachstelle CVE-2026-33017 in ihren Known Exploited Vulnerabilities (KEV) Catalog aufgenommen und eine Patch-Frist bis zum 8. April 2026 gesetzt. Betroffen ist Langflow, eine weit verbreitete Open-Source-Plattform zur visuellen Erstellung von KI-Workflows und LLM-Agenten — mit über 60.000 GitHub-Stars und wachsender Verbreitung in Unternehmen.

Die Schwachstelle hat einen CVSS-Score von 9.3 (kritisch) und ermöglicht es Angreifern, ohne Authentifizierung beliebigen Python-Code auf dem Server auszuführen. Das Bemerkenswerte: Die Ausnutzung begann innerhalb von 20 Stunden nach Bekanntwerden — ohne dass ein öffentlicher Exploit-Code existierte.

Was ist Langflow — und warum wird es angegriffen?

Langflow ist ein Open-Source-Framework, das es ermöglicht, LLM-Anwendungen (Large Language Models) visuell per Drag-and-Drop zu erstellen. Typische Einsatzgebiete sind RAG-Pipelines (Retrieval-Augmented Generation), KI-Agenten und Workflow-Automatisierungen.

Die Plattform wird von Entwicklungsteams eingesetzt, die schnell KI-Prototypen und Produktionsworkflows aufbauen wollen. Viele Instanzen laufen auf Cloud-Servern — teilweise ohne ausreichende Absicherung oder hinter öffentlich erreichbaren Endpoints. Genau das macht sie zu einem attraktiven Ziel für automatisierte Angriffe.

Technische Details: CVE-2026-33017

Die Schwachstelle liegt im Endpoint build_public_tmp, der für öffentliche Flows konzipiert ist und absichtlich ohne Authentifizierung arbeitet. Das Problem: Der Endpoint akzeptiert vom Angreifer übermittelte Flow-Daten, die eingebetteten Python-Code enthalten können. Dieser Code wird ohne Sandboxing direkt auf dem Server ausgeführt.

Laut der NVD-Beschreibung ist dies eine eigenständige Schwachstelle, die sich von CVE-2025-3248 unterscheidet. Letztere betraf den Endpoint /api/v1/validate/code und wurde durch das Hinzufügen einer Authentifizierung behoben. CVE-2026-33017 nutzt einen anderen Angriffsvektor über einen bewusst öffentlich zugänglichen Endpoint.

Betroffen sind alle Langflow-Versionen bis 1.8.2. Das Update auf Version 1.9.0 behebt die Schwachstelle.

20 Stunden vom Advisory zum Angriff

Laut einem Bericht von Sysdig begannen Angreifer innerhalb von 20 Stunden nach Veröffentlichung des Advisories, verwundbare Langflow-Instanzen zu attackieren. Sysdig hatte Honeypot-Nodes mit verwundbaren Instanzen über mehrere Cloud-Provider verteilt und beobachtete vier Angriffsversuche innerhalb weniger Stunden nach Deployment.

Ein Angreifer ging dabei über das initiale Scanning hinaus und exfiltrierte Umgebungsvariablen — einschließlich Zugangsdaten und API-Keys.

Besonders alarmierend: Es existierte zum Zeitpunkt der ersten Angriffe kein öffentlicher Exploit-Code auf GitHub. Das Advisory selbst enthielt genügend Details — den verwundbaren Endpoint-Pfad und den Mechanismus zur Code-Injection über Flow-Node-Definitionen — um einen funktionierenden Exploit zu konstruieren.

Einheitliches Angriffsmuster: os.popen() + HTTP-Exfiltration

Sysdig identifizierte ein konsistentes Post-Exploitation-Playbook über alle beobachteten Angriffe hinweg:

Shell-Befehl über Pythons os.popen() ausführen
Output über HTTP an externe C2-Infrastruktur exfiltrieren
Umgebungsvariablen (Credentials, API-Keys) abgreifen

Sysdig veröffentlichte zudem eine Liste von Indicators of Compromise (IOCs), darunter Angreifer-IPs, C2-Infrastruktur, Dropper-URLs und Interactsh-Callback-Domains.

Warum Runtime Detection entscheidend ist

Sysdig betont, dass bei derart schneller Ausnutzung klassische Patch-Zyklen nicht mehr ausreichen. Runtime Detection bleibt die primäre Verteidigungslinie. Die eingesetzten Erkennungsregeln benötigen keine spezifische Signatur für CVE-2026-33017, weil sie das Exploitation-Verhalten erkennen, nicht die Schwachstelle selbst. Dieselben Regeln greifen unabhängig davon, ob der initiale Zugang über CVE-2026-33017, CVE-2025-3248 oder eine andere RCE erfolgt.

Das heißt: Verhaltensbasierte Erkennung erkennt den Angriff unabhängig von der spezifischen Schwachstelle — ob bekannt oder unbekannt.

Was Unternehmen jetzt tun müssen

Sofort patchen: Update auf Langflow v1.9.0 oder höher
Exponierte Instanzen prüfen: Jede öffentlich erreichbare Langflow-Instanz als potenziell kompromittiert behandeln
Zugang einschränken: Langflow niemals ohne Authentifizierung und Netzwerksegmentierung betreiben
Umgebungsvariablen rotieren: Alle Credentials, API-Keys und Datenbankzugänge auf kompromittierten Systemen sofort wechseln
Runtime Monitoring: Verhaltensbasierte Erkennung implementieren, die Shell-Ausführung und HTTP-Exfiltration erkennt
IOCs prüfen: Sysdig-IOCs gegen eigene Logs abgleichen

J. Benjamin Espagné

KI-Tools sind Infrastruktur — und müssen wie Infrastruktur geschützt werden

Warum CVE-2026-33017 ein Weckruf für jedes Unternehmen mit KI-Tooling ist

Der Fall Langflow zeigt ein Muster, das wir bei NEOSEC in der Praxis immer häufiger sehen: KI-Tools und LLM-Frameworks werden in Unternehmen ausgerollt — oft schneller, als die Sicherheitsarchitektur hinterherkommt. Langflow-Instanzen laufen auf Cloud-Servern, haben Zugriff auf Datenbanken, API-Keys und interne Systeme — und sind teilweise ohne Authentifizierung aus dem Internet erreichbar.

Die Geschwindigkeit der Ausnutzung ist dabei der eigentliche Weckruf: 20 Stunden vom Advisory zum aktiven Angriff, ohne öffentlichen Exploit-Code. Das Advisory allein reichte aus. Wer hier noch auf manuelle Patch-Zyklen setzt, hat bereits verloren. Die Angreifer automatisieren — und unsere Erkennung muss es auch.

Bei NEOSEC setzen wir genau hier an: Unser SIEM-basiertes Monitoring erkennt die Exploitation-Muster, die Sysdig beschreibt — Shell-Ausführung über os.popen(), HTTP-Exfiltration, verdächtige Prozessbäume — unabhängig davon, welche spezifische CVE den initialen Zugang ermöglicht hat. Das ist der Unterschied zwischen signaturbasierter und verhaltensbasierter Erkennung.

Die Empfehlung ist klar: Wenn Sie KI-Workflows, LLM-Pipelines oder Agenten-Frameworks in Ihrem Unternehmen einsetzen, gehören diese in Ihr Security Monitoring — mit denselben Standards wie jede andere geschäftskritische Infrastruktur. Alles andere ist fahrlässig.

Sie setzen KI-Tools ein und sind sich nicht sicher, ob Ihre Instanzen abgesichert sind? Sprechen Sie mit uns.

CSO Online – Attackers exploit critical Langflow RCE within hours
Sysdig – Langflow RCE Exploitation Analysis
CISA – Known Exploited Vulnerabilities Catalog
NVD – CVE-2026-33017
Langflow GitHub Repository

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse

Sicherheitslücken Tips

APIs sind die neue Angriffsfläche — und die meisten Unternehmen sind blind

J. Benjamin Espagné 30. März 202630. März 2026

CISOs großer Unternehmen warnen: APIs haben Endpoints als primäre Angriffsfläche abgelöst. Jede dritte Organisation wurde im letzten Jahr über eine API kompromittiert — und 95 % der Angriffe kamen über authentifizierte Verbindungen. Warum EDR und WAF hier versagen und was stattdessen hilft.

lesen APIs sind die neue Angriffsfläche — und die meisten Unternehmen sind blind
Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird

J. Benjamin Espagné 27. März 202627. März 2026

Supply-Chain-Angriffe haben sich seit 2022 um das 3,8-Fache erhöht. Das Handelsblatt berichtet über die wachsende Bedrohung — und NIS2 macht Lieferkettensicherheit zur Pflicht. Was Unternehmen jetzt tun müssen.

lesen Supply-Chain-Angriffe: Wenn die Lieferkette zum Einfallstor wird
Hacks Sicherheitslücken

Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet

J. Benjamin Espagné 25. März 2026

Eine kritische Zero-Day-Lücke in Cisco Secure Firewall Management Center wird aktiv für Ransomware-Angriffe genutzt — ohne dass ein Angreifer auch nur ein Passwort braucht. Was das bedeutet und warum schnelles Handeln jetzt entscheidend ist.

lesen Wenn die Firewall selbst zur Sicherheitslücke wird — Was CVE-2026-20131 für Ihr Unternehmen bedeutet
KI MDR Sicherheitslücken

KI beschleunigt Exploits – die Lücke zwischen Bekanntwerden und Angriff schrumpft drastisch

J. Benjamin Espagné 19. Januar 202625. März 2026

Künstliche Intelligenz verändert die Sicherheitslandschaft in einem Tempo, dem viele Unternehmen kaum hinterherkommen. Aktuelle Analysen des SANS Institute zeigen, dass KI nicht…

lesen KI beschleunigt Exploits – die Lücke zwischen Bekanntwerden und Angriff schrumpft drastisch
In eigener Sache Research

Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec

J. Benjamin Espagné 22. Oktober 202525. März 2026

Seit dem 1. September 2025 verstärkt Dr. rer. nat. Anatolii Nazarko das Team von Neosec als Security Analyst & Head of Research bei Neosec. Mit…

lesen Moin Dr. Anatolii Nazarko – Security Analyst & Head of Research bei Neosec
Hacks KEV Sicherheitslücken

Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame

J. Benjamin Espagné 21. Oktober 202525. März 2026

Die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) hat am 15. Oktober 2025 eine kritische Sicherheitslücke in Adobe Experience Manager (AEM) in ihren Known Exploited Vulnerabilities (KEV)-Katalog…

lesen Neue “Erfahrungen”: Adobe Experience Manager schafft es in die Hall of Shame