Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución de código autenticado en la validación del asistente de agentes de Langflow

Fecha de publicación 27/03/2026
Identificador
INCIBE-2026-234
Importancia
5 - Crítica
Recursos Afectados

Langflow versión 1.8.1 y todas las anteriores.

Descripción

kexinoh ha informado de 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante acceder a la función Agentic Assistant e influir en la salida del modelo, resultando en la  ejecución arbitraria de código Python en el servidor.

Solución

Se recomienda actualizar a la versión 1.9.0.

Detalle

CVE-2026-33873: vulnerabilidad de ejecución de código estando autenticado mediante funciones, de ser explotada, podría permitir a atacantes acceder a la función Agentic Assistant e influir en la salida del modelo resultando en la ejecución de código Python arbitrario en el servidor.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-33873 Crítica No Langflow
Listado de referencias
Langflow has Authenticated Code Execution in Agentic Assistant Validation
Etiquetas