Apa yang terjadi
IBM Langflow OSS 1.0.0 hingga 1.10.1 mengandung kerentanan unauthenticated remote code execution dalam public flow build endpoint (/api/v1/build_public_tmp/{flow_id}/flow). Kerentanan berasal dari incomplete denylist dalam fungsi validate_public_flow_no_code_execution(), berarti endpoint (sebelumnya target dari actively-exploited, KEV-listed CVE-2026-33017) masih memungkinkan pola kode yang disuplai penyerang tertentu untuk mencapai exec() tanpa autentikasi. Dipublikasikan ke NVD 2026-07-17, CVSS 8.1 (High).
Mengapa penting
Class endpoint yang sama adalah subject dari CVE-2026-33017, yang CISA tambahkan ke KEV setelah penyerang weaponize advisory dalam 20 jam setelah disclosure dan menggunakannya untuk harvest LLM provider API keys, AWS/cloud credentials, dan deploy droppers pada instance yang dikompromikan. Bahwa fix's denylist incomplete berarti RCE class unauthenticated yang sama tetap persists pada platform yang terintegrasi langsung ke LLM provider APIs, internal databases, dan cloud accounts di seluruh populasi besar dari AI agent deployments.
Vektor serangan
Unauthenticated POST ke /api/v1/build_public_tmp/{flow_id}/flow dengan crafted flow data yang berisi kode yang evade validate_public_flow_no_code_execution() denylist, mencapai unsandboxed exec()
Sistem yang terdampak
IBM Langflow OSS 1.0.0 hingga 1.10.1
Mitigasi
Terapkan fix IBM lebih dari 1.10.1; restrict/remove public flow exposure di mana mungkin; lihat IBM Support bulletin