Вразливість CVE-2026-33017 з оцінкою CVSS 9.3 впливає на всі версії Langflow до 1.8.1 включно. Проблема знаходиться в ендпоінті POST /api/v1/build_public_tmp/{flow_id}/flow, який дозволяє будувати публічні потоки без перевірки автентифікації. Коли передається необов’язковий параметр data, система бере контрольовані атакуючим дані потоку з довільним кодом Python у визначеннях вузлів і виконує його через функцію exec() без пісочниці. Атака вимагає лише одного HTTP POST-запиту зі шкідливим JSON-пейлоадом і дає повні привілеї на сервері — читання змінних середовища, доступ до файлів, вставлення бекдорів, стирання даних або отримання зворотної оболонки.

Sysdig зафіксувала масове сканування вразливих інстансів, витягнення ключів і креденшіалів, доступ до баз даних і спроби компрометації ланцюжка постачання. Атакуючі застосовували кастомні Python-скрипти для читання /etc/passwd і завантаження наступного пейлоаду. Далі йшло збирання даних з конфігураційних файлів, баз даних і .env-файлів. На момент перших атак публічного PoC не існувало. Вразливість відрізняється від CVE-2025-3248, яка використовувала інший ендпоінт. Оновлення вийшло лише в dev-версії 1.9.0.dev8. Скомпрометовані сервери Langflow могли бути повністю захоплені для крадіжки даних і подальших атак.