Kai Ole Hartwig
7 Min. Lesezeit
Kritisch

Langflow CVE-2026-55255: IDOR erlaubt fremde KI-Flows auszuführen — erste AI-Agent-Plattform in CISA KEV

Langflow ist die erste KI-Agent-Plattform, die es überhaupt in den CISA-Known-Exploited-Vulnerabilities-Katalog geschafft hat: CVE-2026-55255 (CVSS 8.4), am 8. Juli 2026 offengelegt und bereits einen Tag zuvor, am 7. Juli, von CISA in den KEV-Katalog aufgenommen. Der Fehler ist ein klassischer IDOR (Insecure Direct Object Reference) — authentifizierte Angreifer können fremde Flows ausführen, indem sie einfach die Flow-ID eines anderen Nutzers im Request angeben. In Multi-Tenant-Deployments ist das ein direkter Weg zu API-Keys, AWS-Credentials und anderen in fremden Flows hinterlegten Secrets. CISA setzte betroffenen Bundesbehörden eine Meldefrist bis Freitag, den 10. Juli 2026. Fix: Langflow 1.9.1. Hinweis: Dies ist eine andere Schwachstelle als das bereits auf diesem Blog behandelte CVE-2026-5027 (Path Traversal → RCE, 30.06.2026) — dieselbe Plattform, zwei unterschiedliche Lücken.

TL;DR — 90 Sekunden

Betroffen?

Alle Langflow-Versionen vor 1.9.1, insbesondere Multi-Tenant-Deployments, in denen mehrere Nutzer eigene Flows anlegen.

Risiko?

IDOR/Authorization-Bypass (CVSS 8.4): ein authentifizierter Angreifer kann fremde Flows durch Angabe der Flow-ID ausführen — inklusive Zugriff auf darin hinterlegte API-Keys und Cloud-Credentials. Aktiv ausgenutzt laut CISA.

Sofortmaßnahme?

Auf Langflow 1.9.1 oder neuer aktualisieren. CISA setzte betroffenen US-Bundesbehörden eine Frist bis 10.07.2026 — als generelle Dringlichkeitsindikation auch für andere Betreiber relevant.

Empfehlung?

Wer Langflow multi-tenant betreibt, sollte zusätzlich alle in Flows hinterlegten Secrets (API-Keys, Cloud-Credentials) als potenziell kompromittiert behandeln und rotieren, unabhängig vom Patch-Zeitpunkt.

Kritikalität?

kritisch (Hero-Badge) — CISA-KEV-Eintrag, aktive Ausnutzung, erste AI-Agent-Plattform in diesem Katalog.

Was ist das Problem?

Langflow ist ein visueller Builder für KI-Agent-Workflows („Flows“), die häufig API-Keys, Datenbank-Credentials oder Cloud-Zugangsdaten referenzieren, um mit externen Diensten zu interagieren. CVE-2026-55255 ist ein Insecure Direct Object Reference (IDOR): Die Anwendung prüft beim Ausführen eines Flows nicht ausreichend, ob der anfragende — authentifizierte — Nutzer tatsächlich Zugriffsrechte auf die angegebene Flow-ID besitzt. Ein Angreifer mit einem gültigen, aber niedrig privilegierten Account kann daher einfach die Flow-ID eines anderen Nutzers im Request einsetzen und dessen Flow ausführen lassen — inklusive aller darin konfigurierten Secrets und Datenzugriffe.

Das Muster ist in Multi-Tenant-SaaS- oder internen Self-Hosted-Deployments mit mehreren Teams besonders relevant, da genau dort die Grundannahme „mein Flow gehört mir, andere sehen ihn nicht“ durchbrochen wird. CISA bestätigt aktive Ausnutzung in freier Wildbahn.

Wer ist betroffen?

BetroffenNicht betroffenBedingungen
Langflow-Instanzen vor Version 1.9.1Langflow 1.9.1 und neuer
Multi-Tenant-Deployments (mehrere Nutzer/Teams mit eigenen Flows)Strikt Single-User-Instanzen ohne weitere AccountsAngreifer benötigt einen gültigen, authentifizierten Account — kein unauthentifizierter Zugriff nötig
Flows mit hinterlegten API-Keys/Cloud-CredentialsFlows ohne sensible SecretsAuswirkung skaliert mit Sensitivität der im Flow hinterlegten Zugangsdaten

CISA hat die Lücke am 7. Juli 2026 in den KEV-Katalog aufgenommen — ein starkes Signal für bereits laufende, aktive Ausnutzung, nicht nur theoretisches Risiko.

Auswirkungen

Der unmittelbare Impact ist Zugriff auf fremde KI-Workflows samt allem, was darin hinterlegt ist: API-Keys für LLM-Provider, Datenbank-Zugangsdaten, Cloud-Credentials (AWS und andere), sowie potenziell die Ergebnisse/Ausgaben fremder Flow-Ausführungen. In Umgebungen, in denen Langflow als zentrale Orchestrierungsschicht für mehrere Teams oder Kunden dient, bedeutet das horizontale Rechteausweitung über Tenant-Grenzen hinweg — ein Nutzer mit minimalen Rechten kann effektiv wie jeder andere Nutzer der Plattform agieren, solange er dessen Flow-ID kennt oder errät. Da Flow-IDs oft sequenziell oder vorhersehbar sind, ist auch das Erraten gültiger IDs kein grosses Hindernis.

Mitigation / Sofortmassnahmen

Hinweis: Basierend auf der CISA-KEV-Eintragung und der zitierten Berichterstattung — Details gegen die offizielle Langflow-Release-Notes und CISA-Advisory abgleichen.

Operativer Entscheidungsblock

Schritt 1 — auf 1.9.1 aktualisieren

 

# aktuelle Version prüfen
pip show langflow | grep Version
# aktualisieren
pip install --upgrade langflow==1.9.1
# bzw. bei Container-Deployment: Image-Tag aktualisieren und neu deployen
docker pull langflowai/langflow:1.9.1

 

Schritt 2 — Secrets rotieren

 

- alle API-Keys, die in Langflow-Flows hinterlegt waren (LLM-Provider, Datenbanken)
- AWS-/Cloud-Credentials, die von Flows referenziert wurden
- Zugriffstoken für nachgelagerte Systeme, die Flows ansprechen konnten

 

Schritt 3 — Zugriff bis zum Patch einschränken

 

# Multi-Tenant-Nutzung temporär einschränken, falls Update nicht sofort möglich
# Netzwerkzugriff auf die Langflow-Instanz auf vertrauenswürdige Quellen begrenzen
# Audit-Logging aktivieren, um Flow-Ausführungen pro Nutzer nachvollziehbar zu machen

Detection / Prüfung

Version prüfen

 

pip show langflow | grep Version
docker inspect <container> | grep -i langflow

 

Auf verdächtige Flow-Ausführungen prüfen

 

# Audit-/Access-Logs auf Flow-Ausführungen mit Nutzer/Flow-ID-Mismatch prüfen
grep -i "flow_id" langflow-access.log | awk '{print $user, $flow_id}' | sort -u
# ungewöhnliche Zugriffsmuster: ein Nutzer, der viele unterschiedliche Flow-IDs anfragt

 

Laufzeit-Indikatoren

 

- Flow-Ausführungen durch Nutzer, die den Flow nicht selbst angelegt haben
- ungewöhnliche API-Aufrufe an LLM-Provider/Cloud-Dienste ausserhalb bekannter Nutzungsmuster
- Zugriffe auf Secrets/Credentials, die zuvor nicht von diesem Nutzerkonto verwendet wurden

Betreiberempfehlung

Mid-Market

Auf 1.9.1 aktualisieren und alle in Flows hinterlegten Secrets rotieren — unabhängig davon, ob ein Missbrauch nachweisbar ist. Bei Multi-Tenant-Nutzung: Audit-Logging aktivieren, um zukünftige Anomalien zu erkennen.

Enterprise

Zusätzlich: Prüfen, ob Langflow als zentrale Plattform für mehrere Teams/Kunden dient — dort ist der Blast-Radius am grössten. Secrets-Management überdenken: Statt Credentials direkt in Flows zu hinterlegen, externe Secret-Stores (Vault, AWS Secrets Manager) mit kurzlebigen, scope-begrenzten Tokens nutzen.

US-Bundesbehörden / regulierte Umgebungen

CISA-KEV-Eintrag bedeutet verbindliche Meldefristen für Bundesbehörden (Frist war 10.07.2026) — auch als Zulieferer relevant, falls vertragliche Compliance-Anforderungen bestehen.

Entscheidungsblock

Heute handeln, wenn: Multi-Tenant-Langflow ohne Patch + Secrets in Flows. Beobachten, wenn: Single-User, bereits gepatcht.

Häufige Fragen zu CVE-2026-55255

Ist das dieselbe Lücke wie CVE-2026-5027, die hier bereits behandelt wurde?+

Nein — CVE-2026-5027 (30.06.2026 behandelt) war ein Path Traversal im Datei-Upload mit unauthentifizierter RCE. CVE-2026-55255 ist ein separates IDOR, das authentifizierte Nutzer betrifft. Zwei unterschiedliche Lücken in derselben Plattform.

Reicht ein einzelner Nutzer-Account, um die Lücke auszunutzen?+

Ja, laut Beschreibung genügt ein gültiger, authentifizierter Account mit beliebig niedrigen Rechten — der Angreifer muss lediglich eine fremde Flow-ID im Request angeben.

Was bedeutet die CISA-KEV-Aufnahme konkret?+

CISA listet nur Schwachstellen, für die aktive Ausnutzung in freier Wildbahn bestätigt ist. Für US-Bundesbehörden ist die Aufnahme mit einer verbindlichen Patch-Frist verbunden (hier: 10.07.2026); für alle anderen ist es ein starkes Dringlichkeitssignal.

Muss ich alle Secrets rotieren, auch ohne Hinweis auf Missbrauch?+

Empfehlenswert ja — bei aktiver Ausnutzung in freier Wildbahn ist ein fehlender expliziter Nachweis kein verlässlicher Beleg für Unversehrtheit, insbesondere bei Multi-Tenant-Nutzung.

Sind Single-User-Instanzen betroffen?+

Das konkrete IDOR-Risiko (fremde Flows ausführen) setzt mehrere Nutzerkonten voraus. Eine strikte Single-User-Instanz ohne weitere Accounts ist von diesem spezifischen Angriffspfad nicht betroffen — ein Update auf 1.9.1 bleibt trotzdem empfehlenswert.

Wie leicht sind Flow-IDs zu erraten?+

Das hängt von der Implementierung ab; sequenzielle oder vorhersehbare IDs senken die Ausnutzungshürde zusätzlich. Details zum genauen ID-Format sind in den zitierten Quellen nicht spezifiziert.

Fazit

Dass Langflow die erste KI-Agent-Plattform im CISA-KEV-Katalog ist, ist ein Meilenstein mit unangenehmem Vorzeichen: AI-Agent-Infrastruktur wird jetzt mit derselben Dringlichkeit behandelt wie klassische Enterprise-Software — zu Recht, denn Flows bündeln oft genau die Secrets, die für laterale Bewegung am wertvollsten sind. Wer Langflow multi-tenant betreibt, sollte nicht nur patchen, sondern grundsätzlich überdenken, ob Credentials direkt in Flows gehören oder besser in einem externen Secret-Store mit kurzlebigen Tokens liegen.

Quellen

Ich patche Ihre Langflow-Instanz, rotiere betroffene Secrets und richte sauberes Secrets-Management für KI-Flows ein.

Versions-Update auf 1.9.1, Rotation aller in Flows hinterlegten API-Keys und Cloud-Credentials, Migration zu externem Secrets-Management mit kurzlebigen Tokens, sowie Audit-Logging für Multi-Tenant-Nutzung.

Plattform-Betrieb statt Beratung auf Papier: Ich prüfe, patche und härte Ihre KI-Agent-Infrastruktur laufend.

Über den Autor

[Translate to English:] Foto von Kai Ole Hartwig.

Kai Ole Hartwig

Freelance DevSecOps consultant · OnlyOle Consulting

Programming since 2002 – self-taught, set up my own business with KO-Web in 2012. Over 100 projects, with a focus on security, performance, automation and quality. Today freelance: DevSecOps consulting, training and software development.

Langflow, CVE-2026-5027, Path Traversal, Arbitrary File Write, RCE, unauthenticated, Auto-Login, KI-Agenten, AI-Builder, Low-Code, Agent-Frameworks, LLM-Tooling, self-hosted, exposed instances, VulnCheck, Tenable, Censys, DevSecOps, Supply Chain, Mittelstand

Langflow CVE-2026-5027 (Path Traversal → RCE)

CVE-2026-5027 (CVSS 8.8) ist ein Path Traversal im Langflow-Datei-Upload (POST /api/v2/files): Der filename-Parameter aus dem Multipart-Body wird nicht gesäubert, sodass sich Dateien über ../-Sequenzen an beliebige Stellen schreiben lassen. Weil Langflow standardmäßig eine unauthentifizierte Auto-Anmeldung aktiviert, genügt eine einzige Anfrage ohne Zugangsdaten bis zur RCE. Tenable hat die Lücke am 27.03.2026 offengelegt (TRA-2026-26), behoben in Langflow 1.9.0 vom 15.04.2026; VulnCheck meldet seit dem 10.06. aktive Ausnutzung im Internet (bisher harmlose Testdateien). Censys: ~7.000 öffentlich erreichbare Instanzen, mehrheitlich Nordamerika. Architektur-Lehre: Ein KI-Bau-Tool ist ein produktiver, internetfähiger Dienst mit privilegierten Secrets — Patch schließt die Stelle, Expositionskontrolle + erzwungene Authentifizierung + Inventarisierung schließen die Klasse.

LangGraph, LangChain, CVE-2026-28277, CVE-2025-67644, CVE-2026-27022, Checkpointer, SQLite, Redis, RediSearch, msgpack, Deserialisierung, SQL-Injection, RCE, KI-Agenten, Agent-Frameworks, self-hosted, get_state_history, DevSecOps, Supply Chain, Mittelstand

LangGraph Checkpointer-Kette (CVE-2026-28277)

Drei am 12.06.2026 von Check Point Research offengelegte LangGraph-Lücken treffen die Gedächtnisschicht (Checkpointer) zustandsbehafteter KI-Agenten. CVE-2025-67644 (CVSS 7.3): SQL-Injection im SQLite-Checkpointer über Metadaten-Filterschlüssel. CVE-2026-28277 (6.8): unsichere msgpack-Deserialisierung beim Checkpoint-Laden. Verkettet ergeben sie RCE im Laufzeitkontext des Agenten — die SQLi schiebt eine gefälschte Checkpoint-Zeile mit angreiferkontrolliertem BLOB ein, den der Decoder rekonstruiert. CVE-2026-27022 (6.5): RediSearch-Query-Injection im Redis-Checkpointer (Zugriffskontroll-Bypass). Vorbedingung: selbst-gehostet, exponierter get_state_history()-Pfad, nutzerkontrollierter Filter; LangSmith-gehostet nicht betroffen. Architektur-Lehre: Ein KI-Agent ist eine privilegierte Identität — Patch schließt die Stelle, Filter-Allowlist + abgedichteter Schreibpfad + minimale Rechte schließen die Klasse. Fix: langgraph 1.0.10 / -sqlite 3.0.1 / -redis 1.0.1.