Groene programmacode op een donker computerscherm
Nieuws16 juni · 04:344 min leestijd

Kritieke Langflow-kwetsbaarheid CVE-2026-5027 wordt actief misbruikt: patch nu

Een kritiek lek in de populaire AI-workflowbouwer Langflow wordt actief misbruikt. Aanvallers kunnen zonder in te loggen code uitvoeren op je server. Draai je Langflow zelf, dan is directe actie nodig.

Draai je Langflow zelf om AI-workflows of agents te bouwen? Dan is nu actie nodig. Beveiligingsonderzoekers en twee gerenommeerde vakmedia waarschuwen dat CVE-2026-5027, een kritiek lek in Langflow, actief wordt misbruikt. Aanvallers kunnen zonder in te loggen bestanden naar willekeurige plekken op de server schrijven, en dat is een directe opstap naar volledige code-uitvoering op afstand.

Wat is het lek

Langflow is een populair open-source low-code platform om AI-applicaties en agents visueel in elkaar te zetten. De kwetsbaarheid heeft een CVSS-score van 8,8 en zit in het endpoint POST /api/v2/files: de filename-parameter wordt niet gecontroleerd, waardoor een aanvaller met path traversal (de bekende ../ -truc) bestanden buiten de bedoelde map kan wegschrijven. Erger nog: Langflow heeft standaard automatische login aan, dus er zijn helemaal geen inloggegevens nodig om het kwetsbare endpoint te bereiken. In veel gevallen volstaat één enkel verzoek om een server over te nemen.

Het misbruik loopt nu

Beveiligingsbedrijf VulnCheck zag het misbruik in het wild: aanvallers gebruikten het lek om testbestanden op systemen van slachtoffers te schrijven, een klassieke verkenningsstap voordat echte payloads volgen. Zowel The Stack als CSO Online bevestigen de aanvallen. Er staan volgens onderzoekers ongeveer 7.000 Langflow-instances open op het internet, vooral in Noord-Amerika, en publieke exploit-code op GitHub verlaagt de drempel verder. Opvallend: de CISA-lijst van actief misbruikte kwetsbaarheden vermeldt dit lek nog steeds niet, terwijl de aanvallen al ruim een week lopen. Het is het derde Langflow-lek dat dit jaar actief wordt misbruikt.

De patch is er al maanden

Het pijnlijke is dat een fix allang bestaat. Tenable ontdekte en meldde het lek begin 2026, gevolgd door een publieke disclosure op 27 maart. De patch zit in Langflow-versie 1.9.0, uitgebracht op 15 april 2026. Toch draaien maanden later nog volop kwetsbare servers. Alle versies tot en met 1.8.4 zijn kwetsbaar; 1.9.0 en nieuwer (zoals 1.10.0) bevatten de oplossing.

Wat moet je nu doen

  • Upgrade direct naar Langflow 1.9.0 of nieuwer.
  • Zet automatische login uit en forceer authenticatie.
  • Plaats je instance achter een VPN of firewall in plaats van open op het internet.
  • Controleer je logs op verdachte schrijfacties en onbekende bestanden.

Wat betekent dit voor jouw bedrijf

Self-hosted AI-tooling geeft je controle en datasoevereiniteit, maar die controle brengt verantwoordelijkheid mee: jij bent degene die patcht. Een AI-workflowbouwer staat vaak dicht bij gevoelige data en interne systemen, dus een overgenomen Langflow-server is geen klein incident.

Dit staat bovendien niet op zichzelf. Diezelfde week ontdekten onderzoekers van Obsidian Security drie aaneengeschakelde lekken in LiteLLM (CVSS 9,9) waarmee een gewone gebruiker zichzelf tot admin kan promoveren en code op de server kan uitvoeren, en lanceerde Chainguard Athena: een coalitie die met AI op machinesnelheid zero-days in open-source vindt vóór de aanvallers. De rode draad: de nieuwe generatie AI-infrastructuur is jong, wordt razendsnel uitgerold en is daarmee een geliefd doelwit. Self-hosted AI geeft je controle, maar alleen als beveiliging, updates en monitoring van het begin af aan onderdeel zijn van de aanpak en niet iets dat er later bij wordt gedacht.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Self-hosted AI met beveiliging ingebakken

Ik denk mee over en realiseer AI-oplossingen end-to-end, inclusief hosting, monitoring en patching, zodat jij de voordelen van eigen infrastructuur hebt zonder de beveiligingsrisico's.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow
Gids
10 min

24 jun 13:05

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow

Het grootste deel van je AI-stack is code van vreemden. Zo leg je elke afhankelijkheid vast, verifieer je herkomst en houd je Langflow en LiteLLM dicht, stap voor stap.

Een AI-agent draait nu zelf de complete ransomware-aanval
Nieuws
5 min

2 jul 12:33

Een AI-agent draait nu zelf de complete ransomware-aanval

Voor het eerst is gedocumenteerd dat een AI-agent zelfstandig een volledige ransomware-aanval uitvoert. Sysdig volgde JADEPUFFER, dat via een oud Langflow-lek inbrak en een productiedatabase versleutelde. Een governance-vraag voor elk bedrijf met AI-agents.

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen
Gids
10 min

19 jun 17:05

Cybersecurity basischeck: vijf lagen die je zelf kunt nalopen

De meeste aanvallen mikken op de basis, niet op geniale hacks. Met deze basischeck in vijf lagen breng je credentials, netwerk, supply chain, AI-tools en herstelplan in een halve dag op orde.

F5 dicht twee kritieke NGINX-lekken: webservers wereldwijd moeten nu patchen
Nieuws
5 min

18 jun 20:19

F5 dicht twee kritieke NGINX-lekken: webservers wereldwijd moeten nu patchen

F5 bracht buiten de reguliere cyclus om noodpatches uit voor twee kritieke NGINX-lekken met CVSS 9,2. Onbevoegde aanvallers kunnen op afstand servers platleggen of code uitvoeren. Wie zelf NGINX draait, moet vandaag handelen.

Je zelfgehoste AI-gateway hardenen: van standaardinstellingen naar productie-veilig
Gids
9 min

17 jun 15:00

Je zelfgehoste AI-gateway hardenen: van standaardinstellingen naar productie-veilig

Een AI-gateway als LiteLLM of Langflow staat standaard veel te open. Dit is het stappenplan om hem dicht te zetten: authenticatie, netwerk, sleutels, rate-limits, patches en monitoring.

15 valse JetBrains-plugins stelen AI-API-sleutels van bijna 70.000 ontwikkelaars
Nieuws
5 min

17 jun 12:13

15 valse JetBrains-plugins stelen AI-API-sleutels van bijna 70.000 ontwikkelaars

Beveiligingsbedrijf Aikido Security vond vijftien kwaadaardige plugins in de JetBrains Marketplace die heimelijk OpenAI, DeepSeek en SiliconFlow API-sleutels doorsturen naar een aanvaller. Samen goed voor bijna 70.000 installaties.