Alto CVE-2026-33017 Langflow

Vulnerabilidad crítica en Langflow confirmada en explotación activa (CVE-2026-33017)

Vulnerabilidad · Publicado 25/03/2026 · Actualizado 02/06/2026

Resumen ejecutivo

CISA ha confirmado la explotación activa de una vulnerabilidad en Langflow sin asociación con campañas de ransomware conocidas hasta el momento. La vulnerabilidad afecta a plataformas de automatización de flujos de trabajo utilizadas en empresas LATAM para integración de APIs y orquestación de procesos. El plazo de remediación obligatorio según directiva CISA BOD 22-01 vence el 8 de abril de 2026.

Análisis asistido por IA, contexto LATAM revisado por el equipo 2MCI.

Descripción técnica

Langflow contains a code injection vulnerability that could allow building public flows without requiring authentication.

Productos afectados

Langflow — Langflow

Estado de explotación

⚠️ Explotación activa confirmada — incluida en el catálogo CISA KEV desde el 2026-03-25.

Nombre técnico

Langflow Code Injection Vulnerability

¿Qué hacer?

Aplicar parches del proveedor Langflow inmediatamente
Auditar instancias de Langflow en producción e identificar exposición a Internet
Implementar segmentación de red y controles de acceso restrictivos
Adoptar el plazo CISA (2026-04-08) como estándar empresarial aunque no sea organismo federal
Si no hay mitigaciones disponibles, evaluar discontinuar el servicio

Fuentes originales

⬤ CISA KEV ↗ ⬤ Advisory del fabricante ↗

Esta alerta fue generada automáticamente a partir del CISA KEV Catalog.

← Volver a todas las alertas

Datos rápidos

Vendor Langflow

Categoría Vulnerabilidad

Impacto Alto

Explotación Desconocido

CVE ID CVE-2026-33017 ↗

Publicado 25/03/2026

Actualizado 02/06/2026

Línea de tiempo

25/03/2026 Publicación del advisory

02/06/2026 Actualización 2MCI

Alertas semanales SI

Recibe las vulnerabilidades críticas relevantes para LATAM cada semana.

Más sobre Langflow

Ver todos los advisories →