Langflow CVE-2026-5027: escritura de archivos sin autenticación a RCE, ya explotada
Un path traversal en el endpoint /api/v2/files de Langflow permite que una petición sin autenticación escriba archivos en cualquier parte del disco. VulnCheck confirmó explotación activa el 9 de junio de 2026; ~7.000 instancias están expuestas.
¿Qué es esto?
CVE-2026-5027 (CVSS 8.8) es una vulnerabilidad de path traversal en Langflow, la plataforma low-code de código abierto usada para construir agentes LLM, pipelines RAG y flujos de trabajo de IA. El fallo permite a un atacante escribir archivos en ubicaciones arbitrarias del sistema de archivos del host a través del endpoint de subida. El 9 de junio de 2026, VulnCheck informó de que el fallo está siendo explotado de forma activa, y The Hacker News cubrió esa explotación el 10 de junio. Los datos de Censys citados en esa cobertura sitúan en unas 7.000 instancias de Langflow expuestas públicamente en Internet, la mayoría en Norteamérica.
La vulnerabilidad fue descubierta por Tenable, que publicó el aviso TRA-2026-26 el 27 de marzo de 2026 tras tres intentos de contacto sin respuesta con los mantenedores en enero y febrero. Se corrigió en Langflow 1.9.0, publicado el 15 de abril de 2026. Lo tratamos como un problema divulgado y parcheado, desde una óptica defensiva: el peligro actual reside en la amplia población de despliegues desactualizados expuestos a Internet, no en una técnica secreta.
Cómo funciona
El defecto es trivial y bien conocido: el endpoint POST /api/v2/files toma un filename de los datos del formulario multipart sin sanearlo. El informe de Tenable indica que un atacante puede proporcionar secuencias de traversía de directorios (../) en ese campo para salir del directorio de subida previsto y depositar un archivo allá donde el proceso de Langflow pueda escribir.
Ruta petición: POST /api/v2/files
Campo viciado: multipart "filename" -> contiene secuencias "../"
Sink: el archivo se escribe con la ruta controlada por el atacante
Resultado: escritura de archivo arbitraria fuera del directorio de subidaDos decisiones de diseño convierten una escritura de archivo arbitraria en ejecución remota de código sin autenticación:
- Auto-login por defecto. Como señaló Caitlin Condon (VulnCheck), Langflow habilita el auto-login sin autenticación de fábrica, de modo que una sola petición sin autenticación entrega un token de sesión válido antes incluso de empezar la explotación. No se necesitan credenciales para alcanzar el endpoint.
- Pivotes de escritura a ejecución. Una escritura arbitraria se convierte en ejecución de código por vías conocidas: sobrescribir un archivo de configuración, plantar una entrada de arranque o de cron, o reemplazar un archivo que la aplicación importa o ejecuta después. Es el mismo patrón primitiva-de-escritura-a-RCE visto en los frameworks de agentes de IA.
Según los informes públicos, la explotación actual sigue siendo tosca: los atacantes depositan archivos de prueba inofensivos para identificar hosts vulnerables, un precursor habitual de cargas armadas. No publicamos un exploit funcional; el mecanismo anterior basta para comprender y remediar la exposición.
Por qué importa
Langflow se sitúa en el centro de los pipelines de construcción de IA, a menudo conectado a claves de API, almacenes vectoriales, endpoints de modelos y servicios internos. Un host que ejecuta Langflow rara vez es una máquina aislada: es una bisagra hacia el entorno que lo rodea. Una escritura de archivo arbitraria como usuario sin autenticación en ese host se acerca al peor de los casos.
El calendario agrava el riesgo. El parche salió a mediados de abril, pero la explotación arrancó en junio contra la larga cola de servidores sin parchear: la misma dinámica que señalamos en la avalancha de vulnerabilidades de la IA de código abierto y en el recuento de un millón de servicios de IA expuestos. CVE-2026-5027 tampoco es el primer episodio de Langflow este año: sigue a CVE-2026-33017, CVE-2026-0770, CVE-2026-21445 y CVE-2025-34291, esta última armada por el grupo iraní vinculado al Estado MuddyWater. Una herramienta bajo la atención sostenida de los atacantes merece tratarse como un objetivo de alto valor, no como una comodidad de desarrollador.
Defensas
- Parchee ahora. Actualice a Langflow 1.9.0 o posterior. Es la única corrección completa; todo lo demás es mitigación.
- Desactive el auto-login por defecto. Exija autenticación real y deshabilite el auto-login sin autenticación. La propiedad «una petición = un token de sesión» es lo que hace el fallo explotable de forma remota y a escala.
- Saque Langflow de la Internet pública. Colóquelo tras una VPN, un proxy inverso con autenticación o una lista blanca de IP. Unas 7.000 instancias son accesibles hoy; la suya no debería ser una de ellas.
- Restrinja el proceso. Ejecute Langflow como usuario de bajos privilegios, en solo lectura donde sea posible, dentro de un contenedor; monte sus directorios de trabajo con
noexecy minimice lo que una escritura arbitraria podría sobrescribir o ejecutar. - Rote los secretos expuestos. Si una instancia estuvo expuesta a Internet sin parchear, trate las claves de API, credenciales de modelos y secretos de base de datos conectados como potencialmente comprometidos y rótelos.
- Cace la primitiva de escritura. Busque en los registros peticiones
POST /api/v2/filescuyofilenamecontenga.., y revise archivos inesperados en rutas de configuración, cron o arranque. El depósito de archivos de prueba es el indicador de compromiso actual.
Estado
| Elemento | Detalle |
|---|---|
| CVE | CVE-2026-5027 (CVSS 8.8) |
| Clase | Path traversal → escritura de archivo arbitraria → RCE |
| Endpoint | POST /api/v2/files (filename sin sanear) |
| Alcance | Sin autenticación (auto-login por defecto) |
| Descubierta por | Tenable — aviso TRA-2026-26 |
| Divulgación | 27 de marzo de 2026 (tras 3 intentos de contacto en ene.–feb.) |
| Parche | Langflow 1.9.0, 15 de abril de 2026 |
| Explotación activa | Confirmada por VulnCheck, 9 de junio de 2026 |
| Exposición | ~7.000 instancias públicas (Censys), sobre todo Norteamérica |
La lección duradera es poco glamurosa: un fallo web clásico —nombre de archivo sin sanear, path traversal— es igual de devastador en una plataforma de orquestación de IA que en cualquier otra aplicación web, y un parche en un repositorio no hace nada por los miles de servidores que nunca lo aplican. Trate la infraestructura de construcción de IA como infraestructura de producción: autentíquela, aíslela, parchéela con un calendario y asuma que los atacantes la están escaneando hoy mismo.
Sources
- → https://nvd.nist.gov/vuln/detail/CVE-2026-5027
- → https://www.tenable.com/security/research/tra-2026-26
- → https://thehackernews.com/2026/06/unpatched-langflow-flaw-cve-2026-5027.html
- → https://orca.security/resources/blog/cve-2026-5027-langflow-path-traversal-rce/
- → https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/