ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından bilinen sömürülen güvenlik açıkları (KEV) kataloğuna aktif sömürü kanıtı gösteren açık kaynaklı Langflow platformunu etkileyen yakın zamanda açıklanan bir kritik güvenlik kusuru eklendi.
Güvenlik açığı, CVE-2025-3248maksimum 10.0 üzerinden 9,8 CVSS puanı taşır.
CISA, “Langflow,/API/V1/Validate/Kod Uç Noktasında, uzaktan, kimlik doğrulanmamış bir saldırganın hazırlanmış HTTP istekleri aracılığıyla keyfi kod yürütmesine izin veren eksik bir kimlik doğrulama güvenlik açığı içeriyor.” Dedi.
Özellikle, uç noktanın Python’un yerleşik EXEC () işlevini, kullanıcı tarafından sağlanan kodda yeterli kimlik doğrulama veya kum havuzu olmadan yanlış bir şekilde çağırdığı ve böylece saldırganların sunucuda keyfi komutlar yürütmesine izin verdiği bulunmuştur.
Popüler aracın çoğu sürümünü etkileyen eksiklik, 31 Mart 2025’te yayınlanan 1.3.0 sürümünde ele alınmıştır. Horizon3.ai, Şubat ayında kusuru keşfetmek ve raporlamakla kredilendirilmiştir.
Şirkete göre, güvenlik açığı “kolayca kullanılabilir” ve kimlik doğrulanmamış uzak saldırganların Langflow sunucularının kontrolünü ele geçirmesine izin veriyor. Bir konsept kanıtı (POC) istismar, o zamandan beri 9 Nisan 2025 itibariyle diğer araştırmacılar tarafından kamuya açık hale getirilmiştir.
Saldırı yüzey yönetimi platformundan elde edilen veriler Censys, çoğunluğu ABD, Almanya, Singapur, Hindistan ve Çin’de yoğunlaşan 466 internete maruz kalan Langflow örneği olduğunu göstermektedir.
Şu anda güvenlik açığının gerçek dünya saldırılarında, kim tarafından ve hangi amaçla istismar edildiği bilinmemektedir. Federal Sivil Yürütme Şubesi (FCEB) ajanslarının düzeltmeleri uygulamak için 26 Mayıs 2025’e kadar zamanları vardır.
Zscaler geçen ay, “CVE-2025-3248, güvenli kimlik doğrulama ve kum havuzu önlemleri olmadan dinamik kodun yürütülmesinin risklerini vurguluyor.” Diyerek şöyle devam etti: “Bu güvenlik açığı, kuruluşların özellikle internete maruz kalan uygulamalarda kod-doğrulama özelliklerine dikkatle yaklaşmaları için kritik bir hatırlatma görevi görüyor.”