Langflow dính lỗ hổng nghiêm trọng, hacker đã bắt đầu khai thác thực tế

[WhiteHat Team]

Một lỗ hổng nghiêm trọng trong nền tảng AI mã nguồn mở Langflow đang bị tin tặc khai thác ngoài thực tế, làm dấy lên lo ngại về nguy cơ chiếm quyền máy chủ AI và đánh cắp dữ liệu doanh nghiệp. Đáng chú ý, lỗ hổng này hiện vẫn chưa có bản vá chính thức, trong khi hàng nghìn hệ thống Langflow đang công khai trên Internet.
​

​

Theo các nhà nghiên cứu từ VulnCheck và Tenable, lỗ hổng được định danh là CVE-2026-5027, có điểm CVSS 8,8/10, thuộc nhóm Path Traversal (traversal đường dẫn thư mục). Vấn đề nằm trong endpoint POST /api/v2/files, nơi tham số filename không được kiểm tra và lọc đúng cách. Điều này cho phép kẻ tấn công chèn chuỗi ../ để ghi file tùy ý vào nhiều vị trí trên hệ thống máy chủ.

Nguy hiểm hơn, Langflow mặc định cho phép cơ chế “auto-login” không cần xác thực trong nhiều trường hợp. Điều này khiến hacker có thể tạo phiên làm việc hợp lệ mà không cần tài khoản hay mật khẩu, sau đó tiếp tục khai thác lỗ hổng để thực thi mã từ xa (Remote Code Execution - RCE). Chỉ với một yêu cầu HTTP được tạo đặc biệt, kẻ tấn công có thể ghi file độc hại lên máy chủ và mở đường cho việc chiếm quyền điều khiển hệ thống.

Các chuyên gia cho biết chiến dịch khai thác hiện mới chủ yếu dùng để ghi các “file thử nghiệm” lên hệ thống nạn nhân nhằm xác minh mục tiêu còn dễ bị tấn công hay không. Tuy nhiên, đây thường là giai đoạn đầu trước khi hacker triển khai mã độc thực sự hoặc cài backdoor để duy trì truy cập lâu dài.

Langflow là một nền tảng low-code/no-code được sử dụng phổ biến để xây dựng ứng dụng AI, chatbot, workflow tự động và hệ thống AI Agent. Vì vậy, các máy chủ Langflow thường chứa API key, token truy cập, thông tin kết nối cơ sở dữ liệu, khóa dịch vụ cloud hoặc dữ liệu nội bộ của doanh nghiệp. Nếu bị khai thác thành công, hacker không chỉ kiểm soát máy chủ Langflow mà còn có thể mở rộng sang nhiều hệ thống phía sau.

Dữ liệu từ Censys cho thấy hiện có khoảng 7.000 instance Langflow đang mở công khai trên Internet, phần lớn tập trung tại Bắc Mỹ. Điều này khiến bề mặt tấn công trở nên rất lớn, đặc biệt trong bối cảnh các công cụ AI đang được triển khai ngày càng nhanh trong doanh nghiệp nhưng chưa được kiểm soát bảo mật tương ứng.

Đây cũng không phải lần đầu Langflow trở thành mục tiêu của giới tấn công mạng. Trước đó, nhiều lỗ hổng nghiêm trọng khác như CVE-2026-33017 hay CVE-2025-34291 cũng từng bị khai thác thực tế chỉ vài giờ sau khi công bố. Một số chiến dịch còn bị cáo buộc có liên quan đến nhóm tin tặc MuddyWater do Iran hậu thuẫn.

Các chuyên gia an ninh mạng cảnh báo rằng nhiều doanh nghiệp hiện triển khai AI workflow theo kiểu “mở nhanh để thử nghiệm”, dẫn đến việc hệ thống Langflow bị public trực tiếp ra Internet mà không có lớp bảo vệ phù hợp. Trong nhiều trường hợp, chỉ cần chiếm được Langflow là hacker có thể tiếp cận toàn bộ pipeline AI, dữ liệu khách hàng hoặc hạ tầng cloud phía sau.

Trong khi chờ bản vá chính thức, giới nghiên cứu khuyến nghị quản trị viên cần thực hiện ngay các biện pháp giảm thiểu rủi ro như:​

• Không để Langflow public trực tiếp ra Internet​
• Tắt cơ chế auto-login mặc định nếu không cần thiết​
• Chặn truy cập tới endpoint /api/v2/files​
• Đặt reverse proxy hoặc VPN trước hệ thống Langflow​
• Giới hạn IP truy cập bằng firewall​
• Rà soát log để phát hiện hoạt động ghi file bất thường​
• Kiểm tra và xoay vòng API key, token, mật khẩu đã lưu trên hệ thống​
• Giám sát các tiến trình lạ hoặc file mới xuất hiện trên máy chủ AI​

Vụ việc tiếp tục cho thấy các nền tảng AI đang nhanh chóng trở thành mục tiêu mới của tội phạm mạng. Khi AI ngày càng được tích hợp sâu vào hoạt động doanh nghiệp, các hệ thống hỗ trợ AI như Langflow không còn là công cụ thử nghiệm đơn thuần mà đã trở thành một phần quan trọng trong hạ tầng vận hành. Điều đó đồng nghĩa với việc một lỗ hổng trong nền tảng AI giờ đây có thể dẫn tới rủi ro xâm nhập toàn bộ hệ thống doanh nghiệp.​