#Künstliche Intelligenz · 4 Min. Lesezeit · Tim Rinkel

KI-ALARM! Langflow-Lücke wird JETZT aktiv ausgenutzt — CISA setzt Frist bis 4. Juni

KI-ALARM! Langflow-Lücke wird JETZT aktiv ausgenutzt — CISA setzt Frist bis 4. Juni

Wer mit KI bastelt, hat oft schnell eine kleine Werkbank im Heimnetz stehen — und genau die kann jetzt zum Einfallstor werden. Die US-Sicherheitsbehörde CISA hat am 21. Mai die Schwachstelle CVE-2025-34291 in Langflow in ihren Katalog der aktiv ausgenutzten Lücken (KEV) aufgenommen. Das bedeutet: Diese Lücke ist kein Laborfall mehr, sondern wird real angegriffen. Für US-Behörden läuft die Patch-Frist bis zum 4. Juni 2026 — ein deutliches Signal auch für alle anderen.

Was ist Langflow?

Langflow ist ein beliebtes Open-Source-Werkzeug, mit dem man KI-Agenten und Workflows per Drag-and-drop zusammenklickt. Es setzt auf das LangChain-Ökosystem auf und ist gerade in der Self-Hosting-Szene populär, weil man damit ohne viel Code eigene KI-Pipelines bauen kann. Genau diese Beliebtheit macht die Lücke gefährlich: Viele Instanzen laufen auf privaten Servern, oft erreichbar im Heimnetz oder sogar im Internet.

GEFAHR: Der Angriff kommt über den Browser

Technisch ist CVE-2025-34291 ein Origin-Validierungsfehler (CWE-346) mit dem Score CVSS 9.4. Schuld ist eine Kombination aus zwei Schwächen: eine zu großzügige CORS-Konfiguration und ein Refresh-Token-Cookie mit der Einstellung SameSite=None. Im Klartext heißt das: Besucht ein an Langflow angemeldeter Nutzer eine präparierte Webseite, kann diese im Hintergrund die Sitzungsdaten an den Angreifer weiterreichen.

Mit diesen gültigen Tokens spricht der Angreifer dann die geschützten API-Endpunkte an, hebt seine Rechte an und führt am Ende beliebigen Code mit den Rechten des Langflow-Dienstes aus. Das alles, ohne sich selbst jemals anmelden zu müssen.

Warum die CISA-Aufnahme so viel Gewicht hat

Die KEV-Liste (Known Exploited Vulnerabilities) ist so etwas wie die Fahndungsliste für Lücken, die nachweislich ausgenutzt werden. Was hier landet, gehört ganz oben auf die To-do-Liste. Die Frist bis zum 4. Juni gilt zwar formal nur für US-Bundesbehörden (über die Direktive BOD 22-01), ist aber ein klarer Hinweis für alle: Hier zählt Tempo.

So sicherst du deine Instanz in 5 MINUTEN ab

  • Update einspielen: Bring Langflow auf die vom Hersteller gepatchte Version.
  • CORS einschränken: Erlaube nur vertrauenswürdige Quellen statt offener Wildcards.
  • Cookies härten: Vermeide SameSite=None bei Sitzungs-Cookies.
  • Nicht offen ins Netz: Stell Langflow hinter ein VPN oder einen Reverse-Proxy mit Authentifizierung statt es direkt ans Internet zu hängen.

EXTRA-TIPP: KI-Tools sind normale Software

Der Hype um KI verleitet dazu, neue Tools schnell „mal eben“ auf einen Server zu werfen. Behandle sie aber wie jede andere Webanwendung: Updates, Zugriffsschutz, kein direkter Internet-Zugang. Gerade Werkzeuge, die Code ausführen können, sind ein lohnendes Ziel.

FAZIT: Frische KI-Werkbank, alte Sicherheitsregeln

Eine drag-and-drop-Oberfläche macht den Bau von KI-Agenten leicht — aber die Absicherung bleibt deine Aufgabe. Patchen, CORS dichtmachen, Zugriff einschränken.

Häufige Fragen

Welche Langflow-Versionen sind betroffen?
Betroffen sind Langflow-Installationen mit der verwundbaren CORS- und Cookie-Konfiguration. CISA und der Hersteller verweisen auf die gepatchten Releases — wer self-hostet, sollte auf die aktuelle, korrigierte Version aktualisieren und ältere, ungepatchte Instanzen außer Betrieb nehmen, falls kein Update möglich ist.
Wie merke ich, ob meine Instanz angreifbar ist?
Risikofaktoren sind eine offene CORS-Konfiguration (Wildcards statt fester, vertrauenswürdiger Quellen) und Sitzungs-Cookies mit SameSite=None. Läuft deine Langflow-Instanz zusätzlich frei im Internet erreichbar, ist das Risiko hoch. Prüfe Version, CORS-Einstellungen und ob ein Zugriffsschutz davor liegt.
Wie wird die Lücke konkret ausgenutzt?
Über einen Cross-Origin-Angriff: Ein an Langflow angemeldeter Nutzer besucht eine präparierte Webseite, die im Hintergrund die Sitzungsdaten abgreift. Mit diesen Tokens ruft der Angreifer geschützte API-Endpunkte auf, eskaliert Rechte und führt Code mit den Rechten des Langflow-Dienstes aus — ganz ohne eigene Anmeldung.
Gab es schon aktive Angriffe?
Ja. Die Aufnahme in die CISA-KEV-Liste am 21. Mai 2026 erfolgt ausdrücklich, weil die Lücke in freier Wildbahn ausgenutzt wird. Für US-Bundesbehörden gilt eine Patch-Frist bis zum 4. Juni 2026. Das unterstreicht, dass schnelles Handeln angebracht ist.
Was kann ich sofort tun, wenn kein Patch verfügbar ist?
Beschränke CORS auf konkrete, vertrauenswürdige Ursprünge, vermeide SameSite=None bei Sitzungs-Cookies und nimm die Instanz vom offenen Internet. Stell Langflow hinter ein VPN oder einen authentifizierten Reverse-Proxy. Lässt sich die Lücke so nicht entschärfen, ist die Außerbetriebnahme der sicherste Weg.

Quellen:
CISA Known Exploited Vulnerabilities Catalog ·
Cyber Security News ·
GBHackers ·
Vulert
Stand: 23.05.2026. CVE-2025-34291, in CISA-KEV aufgenommen am 21.05.2026.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert