CSIRT Toscana Langflow: rilevato sfruttamento della CVE-2025-34291 (AL05/260522/CSIRT-ITA)
Data:
22 Maggio 2026
Impatto Sistemico
Alto (74.1)
Sintesi
Rilevato sfruttamento attivo in rete della CVE-2025-34291 – già sanata dal vendor – presente in Langflow, nota piattaforma open-source per lo sviluppo di agent e chatbot basati su intelligenza artificiale.
Tipologia
Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente rilevato lo sfruttamento della CVE-2025-34291 – già sanata dal vendor – presente in Langflow, nota piattaforma open-source per lo sviluppo di agent e chatbot basati su intelligenza artificiale.
Tale vulnerabilità – di tipo “Origin Validation Error” e con score CVSS v3.1 pari a 8.8 – è causata da una configurazione CORS eccessivamente permissiva, la quale, in combinazione con refresh token opportunamente predisposti, potrebbe consentire a utenti malintenzionati remoti di intercettare la coppia di access_token / refresh_token di un utente vittima, ottenendo il controllo completo del relativo account, inclusa la capacità di esecuzione di codice arbitrario.
Prodotti e/o versioni affette
Langflow, versione 1.6.9 e precedenti
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.
Riferimenti
- https://www.obsidiansecurity.com/blog/cve-2025-34291-critical-account-takeover-and-rce-vulnerability-in-the-langflow-ai-agent-workflow-platform
- https://github.com/langflow-ai/langflow
CVE
| CVE-ID |
|---|
| CVE-2025-34291 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 22-05-2026 | 22/05/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
22 Maggio 2026, 15:10