Langflow CVE-2026-55255: IDOR erlaubt fremde KI-Flows auszuführen — erste AI-Agent-Plattform in CISA KEV
Langflow ist die erste KI-Agent-Plattform, die es überhaupt in den CISA-Known-Exploited-Vulnerabilities-Katalog geschafft hat: CVE-2026-55255 (CVSS 8.4), am 8. Juli 2026 offengelegt und bereits einen Tag zuvor, am 7. Juli, von CISA in den KEV-Katalog aufgenommen. Der Fehler ist ein klassischer IDOR (Insecure Direct Object Reference) — authentifizierte Angreifer können fremde Flows ausführen, indem sie einfach die Flow-ID eines anderen Nutzers im Request angeben. In Multi-Tenant-Deployments ist das ein direkter Weg zu API-Keys, AWS-Credentials und anderen in fremden Flows hinterlegten Secrets. CISA setzte betroffenen Bundesbehörden eine Meldefrist bis Freitag, den 10. Juli 2026. Fix: Langflow 1.9.1. Hinweis: Dies ist eine andere Schwachstelle als das bereits auf diesem Blog behandelte CVE-2026-5027 (Path Traversal → RCE, 30.06.2026) — dieselbe Plattform, zwei unterschiedliche Lücken.
TL;DR — 90 Sekunden
Betroffen?
Alle Langflow-Versionen vor 1.9.1, insbesondere Multi-Tenant-Deployments, in denen mehrere Nutzer eigene Flows anlegen.
Risiko?
IDOR/Authorization-Bypass (CVSS 8.4): ein authentifizierter Angreifer kann fremde Flows durch Angabe der Flow-ID ausführen — inklusive Zugriff auf darin hinterlegte API-Keys und Cloud-Credentials. Aktiv ausgenutzt laut CISA.
Sofortmaßnahme?
Auf Langflow 1.9.1 oder neuer aktualisieren. CISA setzte betroffenen US-Bundesbehörden eine Frist bis 10.07.2026 — als generelle Dringlichkeitsindikation auch für andere Betreiber relevant.
Empfehlung?
Wer Langflow multi-tenant betreibt, sollte zusätzlich alle in Flows hinterlegten Secrets (API-Keys, Cloud-Credentials) als potenziell kompromittiert behandeln und rotieren, unabhängig vom Patch-Zeitpunkt.
Kritikalität?
kritisch (Hero-Badge) — CISA-KEV-Eintrag, aktive Ausnutzung, erste AI-Agent-Plattform in diesem Katalog.
Was ist das Problem?
Langflow ist ein visueller Builder für KI-Agent-Workflows („Flows“), die häufig API-Keys, Datenbank-Credentials oder Cloud-Zugangsdaten referenzieren, um mit externen Diensten zu interagieren. CVE-2026-55255 ist ein Insecure Direct Object Reference (IDOR): Die Anwendung prüft beim Ausführen eines Flows nicht ausreichend, ob der anfragende — authentifizierte — Nutzer tatsächlich Zugriffsrechte auf die angegebene Flow-ID besitzt. Ein Angreifer mit einem gültigen, aber niedrig privilegierten Account kann daher einfach die Flow-ID eines anderen Nutzers im Request einsetzen und dessen Flow ausführen lassen — inklusive aller darin konfigurierten Secrets und Datenzugriffe.
Das Muster ist in Multi-Tenant-SaaS- oder internen Self-Hosted-Deployments mit mehreren Teams besonders relevant, da genau dort die Grundannahme „mein Flow gehört mir, andere sehen ihn nicht“ durchbrochen wird. CISA bestätigt aktive Ausnutzung in freier Wildbahn.
Wer ist betroffen?
Betroffen
Nicht betroffen
Bedingungen
Langflow-Instanzen vor Version 1.9.1
Langflow 1.9.1 und neuer
—
Multi-Tenant-Deployments (mehrere Nutzer/Teams mit eigenen Flows)
Strikt Single-User-Instanzen ohne weitere Accounts
Angreifer benötigt einen gültigen, authentifizierten Account — kein unauthentifizierter Zugriff nötig
Flows mit hinterlegten API-Keys/Cloud-Credentials
Flows ohne sensible Secrets
Auswirkung skaliert mit Sensitivität der im Flow hinterlegten Zugangsdaten
CISA hat die Lücke am 7. Juli 2026 in den KEV-Katalog aufgenommen — ein starkes Signal für bereits laufende, aktive Ausnutzung, nicht nur theoretisches Risiko.
Auswirkungen
Der unmittelbare Impact ist Zugriff auf fremde KI-Workflows samt allem, was darin hinterlegt ist: API-Keys für LLM-Provider, Datenbank-Zugangsdaten, Cloud-Credentials (AWS und andere), sowie potenziell die Ergebnisse/Ausgaben fremder Flow-Ausführungen. In Umgebungen, in denen Langflow als zentrale Orchestrierungsschicht für mehrere Teams oder Kunden dient, bedeutet das horizontale Rechteausweitung über Tenant-Grenzen hinweg — ein Nutzer mit minimalen Rechten kann effektiv wie jeder andere Nutzer der Plattform agieren, solange er dessen Flow-ID kennt oder errät. Da Flow-IDs oft sequenziell oder vorhersehbar sind, ist auch das Erraten gültiger IDs kein grosses Hindernis.
Mitigation / Sofortmassnahmen
Hinweis: Basierend auf der CISA-KEV-Eintragung und der zitierten Berichterstattung — Details gegen die offizielle Langflow-Release-Notes und CISA-Advisory abgleichen.
Operativer Entscheidungsblock
Jetzt handeln, wenn … Sie Langflow multi-tenant oder mit mehreren Nutzerkonten betreiben und noch nicht auf 1.9.1 sind.
Mit Priorität prüfen, wenn … Sie US-Bundesbehörde oder Zulieferer sind — CISA-Frist war der 10.07.2026.
Nur beobachten, wenn … Sie eine strikte Single-User-Instanz ohne weitere Accounts betreiben.
Schritt 1 — auf 1.9.1 aktualisieren
# aktuelle Version prüfen
pip show langflow | grep Version
# aktualisieren
pip install --upgrade langflow==1.9.1
# bzw. bei Container-Deployment: Image-Tag aktualisieren und neu deployen
docker pull langflowai/langflow:1.9.1
Schritt 2 — Secrets rotieren
- alle API-Keys, die in Langflow-Flows hinterlegt waren (LLM-Provider, Datenbanken)
- AWS-/Cloud-Credentials, die von Flows referenziert wurden
- Zugriffstoken für nachgelagerte Systeme, die Flows ansprechen konnten
Schritt 3 — Zugriff bis zum Patch einschränken
# Multi-Tenant-Nutzung temporär einschränken, falls Update nicht sofort möglich
# Netzwerkzugriff auf die Langflow-Instanz auf vertrauenswürdige Quellen begrenzen
# Audit-Logging aktivieren, um Flow-Ausführungen pro Nutzer nachvollziehbar zu machen
Detection / Prüfung
Version prüfen
pip show langflow | grep Version
docker inspect <container> | grep -i langflow
Auf verdächtige Flow-Ausführungen prüfen
# Audit-/Access-Logs auf Flow-Ausführungen mit Nutzer/Flow-ID-Mismatch prüfen
grep -i "flow_id" langflow-access.log | awk '{print $user, $flow_id}' | sort -u
# ungewöhnliche Zugriffsmuster: ein Nutzer, der viele unterschiedliche Flow-IDs anfragt
Laufzeit-Indikatoren
- Flow-Ausführungen durch Nutzer, die den Flow nicht selbst angelegt haben
- ungewöhnliche API-Aufrufe an LLM-Provider/Cloud-Dienste ausserhalb bekannter Nutzungsmuster
- Zugriffe auf Secrets/Credentials, die zuvor nicht von diesem Nutzerkonto verwendet wurden
Betreiberempfehlung
Mid-Market
Auf 1.9.1 aktualisieren und alle in Flows hinterlegten Secrets rotieren — unabhängig davon, ob ein Missbrauch nachweisbar ist. Bei Multi-Tenant-Nutzung: Audit-Logging aktivieren, um zukünftige Anomalien zu erkennen.
Enterprise
Zusätzlich: Prüfen, ob Langflow als zentrale Plattform für mehrere Teams/Kunden dient — dort ist der Blast-Radius am grössten. Secrets-Management überdenken: Statt Credentials direkt in Flows zu hinterlegen, externe Secret-Stores (Vault, AWS Secrets Manager) mit kurzlebigen, scope-begrenzten Tokens nutzen.
US-Bundesbehörden / regulierte Umgebungen
CISA-KEV-Eintrag bedeutet verbindliche Meldefristen für Bundesbehörden (Frist war 10.07.2026) — auch als Zulieferer relevant, falls vertragliche Compliance-Anforderungen bestehen.
Entscheidungsblock
Heute handeln, wenn: Multi-Tenant-Langflow ohne Patch + Secrets in Flows. Beobachten, wenn: Single-User, bereits gepatcht.
Häufige Fragen zu CVE-2026-55255
Ist das dieselbe Lücke wie CVE-2026-5027, die hier bereits behandelt wurde?+
Nein — CVE-2026-5027 (30.06.2026 behandelt) war ein Path Traversal im Datei-Upload mit unauthentifizierter RCE. CVE-2026-55255 ist ein separates IDOR, das authentifizierte Nutzer betrifft. Zwei unterschiedliche Lücken in derselben Plattform.
Reicht ein einzelner Nutzer-Account, um die Lücke auszunutzen?+
Ja, laut Beschreibung genügt ein gültiger, authentifizierter Account mit beliebig niedrigen Rechten — der Angreifer muss lediglich eine fremde Flow-ID im Request angeben.
Was bedeutet die CISA-KEV-Aufnahme konkret?+
CISA listet nur Schwachstellen, für die aktive Ausnutzung in freier Wildbahn bestätigt ist. Für US-Bundesbehörden ist die Aufnahme mit einer verbindlichen Patch-Frist verbunden (hier: 10.07.2026); für alle anderen ist es ein starkes Dringlichkeitssignal.
Muss ich alle Secrets rotieren, auch ohne Hinweis auf Missbrauch?+
Empfehlenswert ja — bei aktiver Ausnutzung in freier Wildbahn ist ein fehlender expliziter Nachweis kein verlässlicher Beleg für Unversehrtheit, insbesondere bei Multi-Tenant-Nutzung.
Sind Single-User-Instanzen betroffen?+
Das konkrete IDOR-Risiko (fremde Flows ausführen) setzt mehrere Nutzerkonten voraus. Eine strikte Single-User-Instanz ohne weitere Accounts ist von diesem spezifischen Angriffspfad nicht betroffen — ein Update auf 1.9.1 bleibt trotzdem empfehlenswert.
Wie leicht sind Flow-IDs zu erraten?+
Das hängt von der Implementierung ab; sequenzielle oder vorhersehbare IDs senken die Ausnutzungshürde zusätzlich. Details zum genauen ID-Format sind in den zitierten Quellen nicht spezifiziert.
Fazit
Dass Langflow die erste KI-Agent-Plattform im CISA-KEV-Katalog ist, ist ein Meilenstein mit unangenehmem Vorzeichen: AI-Agent-Infrastruktur wird jetzt mit derselben Dringlichkeit behandelt wie klassische Enterprise-Software — zu Recht, denn Flows bündeln oft genau die Secrets, die für laterale Bewegung am wertvollsten sind. Wer Langflow multi-tenant betreibt, sollte nicht nur patchen, sondern grundsätzlich überdenken, ob Credentials direkt in Flows gehören oder besser in einem externen Secret-Store mit kurzlebigen Tokens liegen.
Ich patche Ihre Langflow-Instanz, rotiere betroffene Secrets und richte sauberes Secrets-Management für KI-Flows ein.
Versions-Update auf 1.9.1, Rotation aller in Flows hinterlegten API-Keys und Cloud-Credentials, Migration zu externem Secrets-Management mit kurzlebigen Tokens, sowie Audit-Logging für Multi-Tenant-Nutzung.
Plattform-Betrieb statt Beratung auf Papier: Ich prüfe, patche und härte Ihre KI-Agent-Infrastruktur laufend.
Programming since 2002 – self-taught, set up my own business with KO-Web in 2012. Over 100 projects, with a focus on security, performance, automation and quality. Today freelance: DevSecOps consulting, training and software development.