تم إضافة عيب أمني حرج تم الكشف عنه مؤخرًا في منصة Langflow مفتوحة المصدر إلى كتالوج الثغرات المعروفة المستغلة (KEV) من قبل وكالة الأمن السيبراني والبني التحتية الأمريكية (CISA)، وذلك بسبب وجود أدلة على استغلاله نشطًا.
الثغرة، المسجلة تحت رقم CVE-2025-3248، حصلت على تقييم 9.8 من 10 وفقًا لمقياس CVSS للخطورة.
وصفت CISA الثغرة قائلة:
“تحتوي Langflow على ثغرة انعدام المصادقة في نقطة النهاية /api/v1/validate/code، مما يسمح لمهاجم غير مصرح له بتنفيذ أكواد خبيثة عن طريق طلبات HTTP مُعدة مسبقًا.”
التفاصيل الفنية:
اكتُشف أن نقطة النهاية تستدعي وظيفة exec() المدمجة في لغة Python على أكواد يقدمها المستخدم دون مصادقة كافية أو عزل آمن، مما يمكّن المهاجمين من تنفيذ أوامر عشوائية على الخادم.
الإصابات المتأثرة والإصلاح:
تؤثر هذه الثغرة على معظم إصدارات الأداة الشهيرة، وقد تم تصحيحها في الإصدار 1.3.0 الذي صدر في ٣١ مارس ٢٠٢٥.
وتم منح شركة Horizon3.ai الفضل في اكتشاف الثغرة والإبلاغ عنها في فبراير الماضي.
خطورة الاستغلال:
وفقًا للشركة، فإن الثغرة “سهلة الاستغلال” وتسمح لمهاجمين غير مصرح لهم بالسيطرة الكاملة على خوادم Langflow.
كما تم نشر أداة استغلال تجريبية (PoC) علنًا في ٩ أبريل ٢٠٢٥ من قبل باحثين آخرين.
نطاق التهديد:
تُظهر بيانات منصة إدارة الأسطح الهجومية Censys وجود ٤٦٦ نسخة من Langflow معرّضة على الإنترنت، معظمها في:
-
الولايات المتحدة
-
ألمانيا
-
سنغافورة
-
الهند
-
الصين
الاستغلال الفعلي والتحذيرات:
لم يُكشف بعد عن كيفية استغلال الثغرة في الهجمات الحقيقية أو هوية المهاجمين أو أهدافهم، لكن معهد SANS Technology أشار إلى تسجيل محاولات استغلال ضد أنظمته الكمينية.
وحددت CISA موعدًا نهائيًا حتى ٢٦ مايو ٢٠٢٥ للوكالات الفيدرالية الأمريكية لتطبيق التحديثات الأمنية.
تحذير من Zscaler:
قالت شركة Zscaler الشهر الماضي:
“تسلط CVE-2025-3248 الضوء على مخاطر تنفيذ الأكواد الديناميكية دون إجراءات مصادقة آمنة أو عزل. هذه الثغرة تذكير مهم للمنظمات بضرورة التعامل بحذر مع ميزات التحقق من الأكواد، خاصة في التطبيقات المعرّضة للإنترنت.”
