Langflow CVE-2026-55255 KEV: KI-Agenten-Lücke erklärt

Langflow CVE-2026-55255 KEV

Der Langflow CVE-2026-55255 KEV-Eintrag, den die CISA am 7. Juli aufgenommen hat, markiert das erste Mal, dass eine KI-Agenten-Orchestrierungsplattform überhaupt im Known Exploited Vulnerabilities-Katalog auftaucht. Die Schwachstelle trägt bei der CISA nur einen CVSS-Wert von 6,1 — KEVIntel und CIRCL bewerten dieselbe Lücke jedoch unabhängig voneinander mit 9,9, weil ein authentifizierter Angreifer damit die LLM-Provider-Keys und Cloud-Zugangsdaten eines anderen Mandanten mit einer einzigen präparierten Anfrage stehlen kann.

Was ist passiert

CVE-2026-55255 ist eine mandantenübergreifende Insecure Direct Object Reference (CWE-639) im Langflow-Endpunkt /api/v1/responses, vorhanden in allen Versionen vor 1.9.2. Die zugrunde liegende Hilfsfunktion get_flow_by_id_or_endpoint_name löste einen Flow anhand einer vom Client übergebenen ID auf, ohne jemals zu prüfen, ob der anfragende Nutzer diesen Flow überhaupt besitzt. Jeder authentifizierte Nutzer konnte die Flow-ID eines anderen Mandanten einsetzen und diesen Flow mit den Zugangsdaten des Opfers ausführen.

Das Threat Research Team von Sysdig beobachtete zwischen dem 22. und 25. Juni 2026, wie ein einzelner Operator (IP 45.207.216.55) die Lücke bewaffnete und mit einer zusätzlichen unauthentifizierten RCE-Schwachstelle (CVE-2026-33017) kombinierte. Die Session folgte einem präzisen Muster: authentifizieren, Flow-IDs über /api/v1/flows/ aufzählen, dann IDOR-Anfragen gegen /api/v1/responses senden — mit dem Payload-Prompt wörtlich auf „leak api keys“ gesetzt. Anschließend wechselte der Operator zur RCE für die Nachladung einer zweiten Payload-Stufe, konsistent mit Botnet- oder Cryptojacking-Monetarisierung.

Die CISA bündelte diesen Langflow CVE-2026-55255 KEV-Eintrag am 7. Juli mit drei weiteren, unabhängigen CVSS-10.0-Schwachstellen — Adobe ColdFusion (CVE-2026-48282) und zwei Joomla-Page-Builder-Erweiterungen —, alle vier mit einer bundesbehördlichen Behebungsfrist zum 10. Juli gemäß Binding Operational Directive 26-04. Es ist die siebte eigenständige Langflow-CVE, die in rund vierzehn Monaten ausgenutzt wurde, nach CVE-2025-3248, CVE-2026-0770, CVE-2026-33017, CVE-2026-21445, CVE-2025-34291 und CVE-2026-5027.

Warum das wichtig ist

CVE-2025-3248 — eine dieser sechs vorherigen Langflow-Lücken — ist derselbe Einstiegspunkt, den Sysdig am 1. Juli bei JADEPUFFER dokumentierte, der ersten vollständig autonomen agentischen Ransomware-Operation (DIESEC berichtete darüber am 8. Juli). Innerhalb eines Monats war Langflow sowohl die Tür für einen selbststeuernden KI-Ransomware-Agenten als auch der Tresor, aus dem ein Angreifer per IDOR Cloud- und LLM-Zugangsdaten stahl. Beide Fälle teilen dieselbe Grundursache: Plattformen, die KI-Agenten mit Produktions-Zugangsdaten, Datenbanken und APIs verbinden sollen, sind konstruktionsbedingt ein konzentrierter Zugangsdaten-Speicher — und jede Schwachstelle darin erbt diesen Wirkungsradius.

Für DACH-Organisationen ist die Governance-Lektion schärfer als die technische. Die CISA bewertete diese Lücke mit 6,1; zwei unabhängige Schwachstellendatenbanken mit 9,9. Ein Patch-Priorisierungsprozess, der ausschließlich auf CVSS-Schwellenwerten basiert, hätte diese Schwachstelle im Rückstand liegen lassen, während sie bereits aktiv ausgenutzt wurde. Genau für diese Lücke existieren KEV-Katalog-Einträge und EPSS-Ausnutzungswahrscheinlichkeiten — und zunehmend sind selbst gehostete Langflow-Installationen in KI-Initiativen des deutschen Mittelstands (RAG-Pipelines, interne Chatbots, LLM-Ops-Tools, oft aus Gründen der Datensouveränität selbst betrieben) genau die Art von internetseitig erreichbarer Instanz, auf die diese Kampagne abzielte.

Was Sie jetzt tun sollten

  1. Aktualisieren Sie jede Langflow-Instanz sofort auf Version 1.9.2 oder neuer — dies fügt die fehlende Besitzprüfung am Endpunkt /api/v1/responses hinzu.
  2. Prüfen Sie, ob Ihre Instanz seit Ende Juni zu irgendeinem Zeitpunkt aus dem Internet erreichbar war; falls ja, behandeln Sie die Rotation der Zugangsdaten als Pflicht, nicht als Vorsichtsmaßnahme.
  3. Rotieren Sie jeden API-Key, jede LLM-Provider-Zugangsdaten (OpenAI, Anthropic oder andere) und jede Cloud-Zugangsdaten, die in irgendeinem Flow gespeichert sind — die IDOR hinterlässt keine von normaler Flow-Ausführung unterscheidbare Spur außer einer nicht passenden Flow-ID in den API-Logs.
  4. Prüfen Sie die Zugriffslogs von /api/v1/responses auf mandantenübergreifende Flow-ID-Muster und beschränken Sie den Zugriff auf die Langflow-API künftig auf vertrauenswürdige interne Netzwerke, statt sie dem öffentlichen Internet auszusetzen.

Findet sich bei einem dieser Schritte ein Hinweis auf vorherigen Zugriff, behandeln Sie dies als Vorfall mit kompromittierten Zugangsdaten, nicht als reine Patch-Lücke — der Witz an dieser Schwachstelle ist gerade, dass die Ausnutzung wie normale Nutzung aussieht.

DIESEC Einschätzung

Wir haben dieses Muster bereits in unserem Beitrag zu JADEPUFFER vom 8. Juli angesprochen: Die Funktion von Langflow — KI-Agenten mit Produktions-Zugangsdaten zu verbinden — macht jede Schwachstelle darin unverhältnismäßig gefährlich im Verhältnis zu ihrem CVSS-Wert. CVE-2026-55255 bestätigt diese Lektion aus der entgegengesetzten Richtung: ein niedriger offizieller Schweregrad, eine maximale reale Auswirkung, und der KEV-Katalog der CISA als Tie-Breaker, den ein rein CVSS-basierter Patch-Management-Prozess verpasst hätte.

Nicht sicher, ob Ihre KI-Agenten-Orchestrierung eine solche Lücke hat? Kontaktieren Sie DIESEC für eine schnelle Prüfung der Zugangsdaten-Exposition und Zugriffskontrollen Ihrer selbst gehosteten KI-Tools.

Quellen: The Hacker News | Tech Times
Veröffentlicht: 2026-07-13 | Kategorie: Tägliche News | ~4 Min. Lesezeit