Исследователи кибербезопасности обнаружили критическую уязвимость в Langflow — популярной low-code платформе для создания AI-приложений и рабочих процессов. Уязвимость CVE-2026-5027 позволяет удалённому злоумышленнику без аутентификации выполнять произвольный код на сервере (RCE), используя обход пути (path traversal) для записи файлов в произвольные директории.
Масштаб проблемы
По данным исследователей, на момент обнаружения в интернете было найдено более 7 000 экземпляров Langflow, потенциально уязвимых для этой атаки. Langflow активно используется разработчиками AI-решений для визуального построения пайплайнов с языковыми моделями.
Суть уязвимости — в некорректной обработке путей при загрузке файлов. Злоумышленник может отправить специально сформированный запрос, который позволяет записать вредоносный файл в произвольное место файловой системы сервера, включая директории с исполняемым кодом.
Что делать
Langflow выпустила исправление в последней версии. Всем пользователям настоятельно рекомендуется немедленно обновиться. До установки патча администраторам следует ограничить сетевой доступ к инстансам Langflow и провести аудит на предмет признаков компрометации.
Источник: The Hacker News, 10 июня 2026