Langflow: disponibile PoC per lo sfruttamento della CVE-2026-33309 (AL01/260403/CSIRT-ITA)

Data:
3 Aprile 2026

Impatto Sistemico

Critico (79.48)

Sintesi

Disponibile Proof of Concept (PoC) per la CVE-2026-33309 presente nel LocalStorageService di Langflow, software usato per sviluppare e distribuire workflow e agent gestiti dall’AI.

Tipologia

Arbitrary File Write

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente pubblicato Proof of Concept (PoC) per lo sfruttamento di una vulnerabilità presente nel LocalStorageService di Langflow.

In particolare, la CVE-2026-33309 – di tipo “Arbitrary File Write“ – riguarda l’API Layer e lo Storage Layer, e potrebbe consentire ad un utente remoto malintenzionato autenticato di scrivere file arbitrari nel filesystem del sistema e, verosimilmente, potrebbe permettere l’esecuzione di codice arbitrario.

Prodotti e versioni affette

Langflow

Versioni dalla 1.2.0 alla 1.9.0 (esclusa)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

https://github.com/langflow-ai/langflow/security/advisories/GHSA-g2j9-7rj2-gm6c

CVE

CVE-ID
CVE-2026-33309

Change log

Versione	Note	Data
1.0	Pubblicato il 03-04-2026	03/04/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

3 Aprile 2026, 09:13

CSIRT Toscana

CSIRT Toscana