Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Künstliche Intelligenz 11.06.2026 · 3 min Lesezeit

Langflow-Lücke CVE‑2026‑5027: Angriffe auf KI-Workflow-Plattform beobachtet

Für Langflow werden aktive Angriffe auf CVE-2026-5027 gemeldet. Unternehmen sollten exponierte KI-Workflow-Instanzen prüfen, absichern und aktualisieren.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Abstraktes Sicherheitsmotiv zu einer Langflow-Schwachstelle

Für die offene KI-Workflow-Plattform Langflow liegen neue Hinweise auf Angriffe gegen öffentlich erreichbare Instanzen vor. Im Mittelpunkt steht CVE-2026-5027, eine von Tenable dokumentierte Path-Traversal-Schwachstelle im Datei-Upload. Die Lücke selbst wurde bereits im März veröffentlicht, die aktuelle Nachricht ist jedoch die beobachtete Ausnutzung in freigegebenen Langflow-Umgebungen. Für Unternehmen ist das vor allem relevant, wenn Langflow für KI-Agenten, RAG-Pipelines oder interne Automatisierungen ohne ausreichende Abschottung betrieben wird.

Die Schwachstelle / Was ist passiert

CVE-2026-5027 betrifft nach Tenable den Endpunkt POST /api/v2/files. Der Dateiname aus Multipart-Formularen wird demnach nicht ausreichend bereinigt. Angreifer können dadurch Pfadfolgen wie ../ verwenden und Dateien außerhalb des vorgesehenen Upload-Verzeichnisses schreiben. Tenable bewertet die Schwachstelle mit CVSS 3.1 als hoch und nennt einen Basiswert von 8,8. NVD führt denselben technischen Kern als CWE-22, also als unzureichende Begrenzung eines Pfadnamens auf ein vorgesehenes Verzeichnis.

Neu ist die Angriffslage: BleepingComputer berichtet am 10. Juni 2026 unter Berufung auf VulnCheck-Honeypots, dass Angreifer die Schwachstelle aktiv testen und Dateien auf erreichbaren Systemen ablegen. Der Bericht nennt außerdem Langflows standardmäßig aktivierte Auto-Login-Funktion als erschwerenden Faktor, weil sie in bestimmten Konfigurationen einen gültigen Sitzungstoken ohne klassische Zugangsdaten ermöglichen kann. Ein zusätzlicher aktueller Bericht von PurpleOps beschreibt die Lücke ebenfalls als aktiv ausgenutzt. Gleichzeitig ist die öffentliche Datenlage nicht in allen Punkten gleich stark: NVD bestätigt die CVE-Beschreibung, macht aber keine eigene Aussage zum aktuellen Ausnutzungsstatus.

Bin ich betroffen?

Betroffen sind Organisationen, die Langflow betreiben und die Upload-API oder die Weboberfläche aus internen oder öffentlichen Netzen erreichbar machen. Besonders kritisch sind Instanzen, die ohne vorgelagerten Zugriffsschutz im Internet stehen oder bei denen die Standardkonfigurationen nicht gehärtet wurden. BleepingComputer verweist auf Censys-Daten mit ungefähr 7.000 öffentlich sichtbaren Treffern, weist aber selbst darauf hin, dass solche Scans historische Ergebnisse enthalten können und nicht automatisch die Zahl aktuell verwundbarer Systeme abbilden.

Administratoren sollten zuerst inventarisieren, ob Langflow überhaupt produktiv, testweise oder als Bestandteil von KI-Laborumgebungen läuft. Eine einfache Prüfung kann auf Hosts oder in Container-Umgebungen beginnen:

python -m pip show langflow
docker ps --format 'table {{.Names}}	{{.Image}}	{{.Ports}}' | grep -i langflow

Zusätzlich sollten Reverse-Proxys, Firewall-Regeln und Cloud-Sicherheitsgruppen geprüft werden. Verdächtig sind Upload-Anfragen an /api/v2/files, ungewöhnliche Dateinamen mit Pfadbestandteilen sowie neue Dateien außerhalb erwarteter Arbeitsverzeichnisse.

Wie behebe ich das?

Langflow-Betreiber sollten zeitnah auf eine aktuelle Version aktualisieren. BleepingComputer nennt Langflow 1.10.0 als am 10. Juni veröffentlichte Version, während Snyk laut demselben Bericht frühere Korrekturen in den Paketständen langflow-base 0.8.3 und Langflow 1.9.0 verortet hatte. Da Tenables Advisory selbst zum Veröffentlichungszeitpunkt noch „No known solution“ aufführte, sollten Unternehmen nicht allein auf Sekundärangaben vertrauen, sondern die tatsächlich eingesetzte Paketversion mit den aktuellen Langflow-Release-Hinweisen abgleichen.

Bis zur vollständigen Aktualisierung sollten Langflow-Instanzen nicht frei aus dem Internet erreichbar sein. Sinnvoll sind ein vorgeschalteter Authentifizierungsmechanismus, Zugriff nur über VPN oder Zero-Trust-Proxy, restriktive Dateisystemrechte für den Dienstnutzer und Protokollierung der Upload-Endpunkte. Wer KI-Werkzeuge im Unternehmen einführt, sollte solche Betriebsregeln verbindlich festhalten; grundsätzliche Leitplanken beschreibt die s-edv-Anleitung KI-Nutzungsrichtlinie für Unternehmen.

Was bedeutet das für Unternehmen?

Die Lücke zeigt ein typisches Risiko schnell eingeführter KI-Werkzeuge: Entwicklungsplattformen werden für Experimente geöffnet und später produktiv weitergenutzt, ohne wie klassische Administrationsoberflächen abgesichert zu sein. Ein beliebiger Dateischreibzugriff ist besonders gefährlich, weil er je nach Laufzeitumgebung zu Konfigurationsmanipulation, Persistenz oder weiterführender Codeausführung führen kann. Unternehmen sollten Langflow daher wie ein privilegiertes Administrationssystem behandeln und nicht wie eine harmlose Webanwendung.

Priorität haben öffentlich erreichbare Instanzen, Systeme mit Zugriff auf Modellschlüssel, Datenbanken oder interne Dokumentenspeicher sowie Umgebungen, in denen Langflow mit weitreichenden Dateisystemrechten läuft. Nach einem Update ist eine Nachprüfung der Logs sinnvoll, weil ein Patch nur künftige Ausnutzung verhindert und keine bereits abgelegten Dateien entfernt.

Quellen: BleepingComputer, Tenable Research Advisory TRA-2026-26, NVD CVE-2026-5027, PurpleOps.

Verwandt

Weiter lesen

Alle Artikel →
Warnmeldung zu CVE-2026-42271 in LiteLLM: Eine Schwachstelle im KI-API-Gateway ermöglicht die Ausführung von Befehlen auf dem Hostsystem und kann in bestimmten Konfigurationen zu unauthentifiziertem Remote Code Execution führen.
11.06.2026 ·3 min

LiteLLM-Lücke CVE-2026-42271: Unauthentifiziertes RCE in KI-API-Gateway – CISA warnt

Eine Command-Injection-Lücke in BerriAI LiteLLM lässt sich ohne Login zu Remote-Code-Execution ketten – CISA stuft CVE-2026-42271 seit dem 8. Juni 2026 als aktiv ausgenutzt ein. Betroffen sind alle Versionen ab 1.74.2; Fix ist Version 1.83.7.
Claude Fable 5 Mythos 5 Hero Artwork mit Twin Orbs und futurischer AI-Optik
10.06.2026 ·3 min

Anthropic veröffentlicht Claude Fable 5 und Mythos 5: Frontier-Modell mit Sicherheitsbeschränkungen für die Öffentlichkeit

Anthropic bringt am 9. Juni 2026 Claude Fable 5 für die Öffentlichkeit und Claude Mythos 5 exklusiv für Glasswing-Partner. Das Modell übertrifft alle Vorgänger auf 11 von 13 Benchmarks – die Token-Preise verdoppeln sich gegenüber Opus 4.8.
Überblick für apples neues iOS 27
09.06.2026 ·4 min

WWDC 2026: Apple stellt iOS 27, macOS Golden Gate und Gemini-gestützte Siri KI vor

Auf der WWDC 2026 präsentierte Apple iOS 27, macOS 27 „Golden Gate" und ein komplett überarbeitetes KI-System: Siri setzt künftig auf Google Gemini als Basis, erstmals ist auch Anthropic Claude als iPhone-KI-Option wählbar. EU-Nutzer müssen wegen des Digital Markets Act auf den Launch-Termin warten.