Een kritiek lek in de populaire AI-workflowbouwer Langflow wordt actief misbruikt. Aanvallers kunnen zonder in te loggen code uitvoeren op je server. Draai je Langflow zelf, dan is directe actie nodig.
Draai je Langflow zelf om AI-workflows of agents te bouwen? Dan is nu actie nodig. Beveiligingsonderzoekers en twee gerenommeerde vakmedia waarschuwen dat CVE-2026-5027, een kritiek lek in Langflow, actief wordt misbruikt. Aanvallers kunnen zonder in te loggen bestanden naar willekeurige plekken op de server schrijven, en dat is een directe opstap naar volledige code-uitvoering op afstand.
Wat is het lek
Langflow is een populair open-source low-code platform om AI-applicaties en agents visueel in elkaar te zetten. De kwetsbaarheid heeft een CVSS-score van 8,8 en zit in het endpoint POST /api/v2/files: de filename-parameter wordt niet gecontroleerd, waardoor een aanvaller met path traversal (de bekende ../ -truc) bestanden buiten de bedoelde map kan wegschrijven. Erger nog: Langflow heeft standaard automatische login aan, dus er zijn helemaal geen inloggegevens nodig om het kwetsbare endpoint te bereiken. In veel gevallen volstaat één enkel verzoek om een server over te nemen.
Het misbruik loopt nu
Beveiligingsbedrijf VulnCheck zag het misbruik in het wild: aanvallers gebruikten het lek om testbestanden op systemen van slachtoffers te schrijven, een klassieke verkenningsstap voordat echte payloads volgen. Zowel The Stack als CSO Online bevestigen de aanvallen. Er staan volgens onderzoekers ongeveer 7.000 Langflow-instances open op het internet, vooral in Noord-Amerika, en publieke exploit-code op GitHub verlaagt de drempel verder. Opvallend: de CISA-lijst van actief misbruikte kwetsbaarheden vermeldt dit lek nog steeds niet, terwijl de aanvallen al ruim een week lopen. Het is het derde Langflow-lek dat dit jaar actief wordt misbruikt.
De patch is er al maanden
Het pijnlijke is dat een fix allang bestaat. Tenable ontdekte en meldde het lek begin 2026, gevolgd door een publieke disclosure op 27 maart. De patch zit in Langflow-versie 1.9.0, uitgebracht op 15 april 2026. Toch draaien maanden later nog volop kwetsbare servers. Alle versies tot en met 1.8.4 zijn kwetsbaar; 1.9.0 en nieuwer (zoals 1.10.0) bevatten de oplossing.
Wat moet je nu doen
- Upgrade direct naar Langflow 1.9.0 of nieuwer.
- Zet automatische login uit en forceer authenticatie.
- Plaats je instance achter een VPN of firewall in plaats van open op het internet.
- Controleer je logs op verdachte schrijfacties en onbekende bestanden.
Wat betekent dit voor jouw bedrijf
Self-hosted AI-tooling geeft je controle en datasoevereiniteit, maar die controle brengt verantwoordelijkheid mee: jij bent degene die patcht. Een AI-workflowbouwer staat vaak dicht bij gevoelige data en interne systemen, dus een overgenomen Langflow-server is geen klein incident.
Dit staat bovendien niet op zichzelf. Diezelfde week ontdekten onderzoekers van Obsidian Security drie aaneengeschakelde lekken in LiteLLM (CVSS 9,9) waarmee een gewone gebruiker zichzelf tot admin kan promoveren en code op de server kan uitvoeren, en lanceerde Chainguard Athena: een coalitie die met AI op machinesnelheid zero-days in open-source vindt vóór de aanvallers. De rode draad: de nieuwe generatie AI-infrastructuur is jong, wordt razendsnel uitgerold en is daarmee een geliefd doelwit. Self-hosted AI geeft je controle, maar alleen als beveiliging, updates en monitoring van het begin af aan onderdeel zijn van de aanpak en niet iets dat er later bij wordt gedacht.
