CVE-2025-3248: новую уязмостью в Langflow активно эксплуатируют
#разбор_CVE #CVE #RCE #AI #ML #LLM #python

Langflow — популярный Python-фреймворк для создания AI-приложений, который используют разработчики по всему миру. Но есть нюанс — критическая уязвимость с CVSS 9.8, которую уже активно эксплуатируют для развертывания ботнета Flodrix.

➡️ Технические детали
➡️Тип уязвимости: Неаутентифицированное удаленное выполнение кода (RCE)
➡️Затронутые версии: Langflow до версии 1.3.0
➡️Вектор атаки: POST-запросы к эндпоинту /api/v1/validate/code
➡️Механизм: Недостаточная валидация входных данных при компиляции Python-кода

➡️ Процесс эксплуатации
1. Сбор IP-адресов публично доступных серверов Langflow через Shodan/FOFA
2. Использование публичного PoC для получения удаленного доступа
3. Выполнение разведывательных команд (whoami, printenv, cat /root/.bash_history)
4. Загрузка и установка ботнета Flodrix
5. Установка связи с C&C сервером для координации DDoS-атак

➡️ Последствия
➡️Полная компрометация системы
➡️Участие в DDoS-атаках
➡️Потенциальная утечка чувствительных данных и конфигураций

➡️ Что делать
Если используете Langflow — немедленно обновляйтесь до версии 1.3.0 или выше. Проверьте логи на предмет подозрительных POST-запросов к /api/v1/validate/code. И да, если ваш сервер был скомпрометирован — полная переустановка системы, никаких полумер.
Ботнет Flodrix уже показал себя как серьезная угроза, так что не тяните с патчингом. Особенно если ваши AI-приложения доступны из интернета.

🛸🛸exploit.py

🔗 Подробности

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK