Công nghệ Lê Huy

Trang chủ

Về chúng tôi

Dịch vụ

Tin tức

Liên hệ

Công nghệ Lê Huy

Trang chủ

Về chúng tôi

Dịch vụ

Tin tức

Liên hệ

Tất cảCông nghệAI & MLPhần mềmPhần cứngMobileCloud & DevOpsBảo mậtIoT

Hacker Đang Khai Thác Lỗ Hổng Nghiêm Trọng Trong Nền Tảng AI Langflow

11 tháng 6, 2026·2 phút đọc

Các chuyên gia bảo mật phát hiện các cuộc tấn công đang diễn ra nhằm vào nền tảng phát triển AI Langflow thông qua lỗ hổng CVE-2026-5027. Lỗi bảo mật này cho phép kẻ tấn công thực thi mã từ xa mà không cần đăng nhập, gây rủi ro lớn cho hệ thống.

Hacker Đang Khai Thác Lỗ Hổng Nghiêm Trọng Trong Nền Tảng AI Langflow

Theo báo cáo từ VulnCheck, các tác nhân đe dọa đã bắt đầu khai thác một lỗ hổng có mức độ nghiêm trọng cao trong Langflow, một nền tảng phát triển AI kiểu low-code phổ biến. Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-5027 với điểm số CVSS là 8.8.

Lỗ hổng bảo mật phần mềmLỗ hổng bảo mật phần mềm

Vấn đề được mô tả là một lỗi "path traversal" (duyệt đường dẫn), cho phép kẻ tấn công ghi tệp tin vào các vị trí bất kỳ trên hệ thống. Cố vấn NIST cho biết: "Endpoint ‘POST /api/v2/files’ không làm sạch tham số ‘filename’ từ dữ liệu biểu mẫu multipart, cho phép kẻ tấn công ghi tệp vào các vị trí tùy ý trên hệ thống tệp bằng cách sử dụng các chuỗi duyệt đường dẫn (‘../’)".

Caitlin Condon, Phó chủ tịch nghiên cứu bảo mật tại VulnCheck, cảnh báo rằng việc khai thác thành công lỗi này cho phép các kẻ tấn công chưa được xác thực thực thi mã tùy ý (RCE) trên các phiên bản Langflow bị ảnh hưởng.

Nguy cơ đặc biệt lớn do cấu hình mặc định của Langflow. "Lỗi này có thể cho phép thực thi mã từ xa (RCE), và vì Langflow bật tính năng tự động đăng nhập (auto-login) mà không cần xác thực theo mặc định, kẻ tấn công có thể tiếp cận endpoint dễ bị tấn công mà không cần thông tin đăng nhập," VulnCheck chia sẻ với SecurityWeek.

Quy trình tấn công khá đơn giản: kẻ tấn công có thể gửi một yêu cầu chưa được xác thực để lấy mã thông báo phiên (session token) hợp lệ, sau đó tiếp tục khai thác CVE-2026-5027. Các nỗ lực khai thác thực tế đã được quan sát thấy sử dụng lỗi duyệt đường dẫn để thả các tệp thử nghiệm lên hệ thống của nạn nhân.

Bề mặt tấn công tiềm năng khá rộng, với khoảng 7.000 phiên bản Langflow có thể truy cập từ Internet, phần lớn nằm ở Bắc Mỹ. Hoạt động này làm nổi bật xu hướng ngày càng tăng của các cuộc tấn công nhắm vào cơ sở hạ tầng và công cụ mà các tổ chức sử dụng để xây dựng và triển khai các ứng dụng AI.

CVE-2026-5027 được công khai vào ngày 27/3 bởi Tenable, sau một loạt nỗ lực công bố không thành công. SecurityWeek đã liên hệ với Langflow để xin bình luận và sẽ cập nhật bài viết nếu có phản hồi.

Chia sẻ:FacebookX
Nội dung tổng hợp bằng AI, mang tính tham khảo. Xem bài gốc ↗
← Quay lại tin tức