Vulnerabilities ›

CVE-2026-33017

Critical 🇺🇸 CISA KEV

Langflow Unauthenticated Code Injection Vulnerability (CVE-2026-33017)

                    Published: Mar 25, 2026                                          ·  Source: CISA_KEV                

CVSS v3

9.8

🔗 NVD Official

📄 Description (English)

Langflow Langflow — CVE-2026-33017
Langflow contains a code injection vulnerability that could allow building public flows without requiring authentication.

Required Action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

🤖 AI Executive Summary

Langflow contains a critical code injection vulnerability allowing unauthenticated users to build and execute public flows, bypassing authentication controls. This vulnerability poses significant risk to organizations using Langflow for workflow automation and data processing.

📄 Description (Arabic)

تتعلق الثغرة بقدرة المهاجمين على حقن أكواد برمجية وتنفيذها عبر واجهة Langflow العامة دون الحاجة إلى بيانات اعتماد صحيحة. يمكن للمهاجمين استخدام هذه الثغرة للوصول إلى البيانات الحساسة أو تعديل سير العمل الحرج أو تنفيذ عمليات ضارة. تؤثر هذه الثغرة على جميع إصدارات Langflow المتأثرة بشكل متساوٍ.

🤖 ملخص تنفيذي (AI)

Langflow يحتوي على ثغرة حقن أكواد حرجة تسمح للمستخدمين غير المصرحين ببناء وتنفيذ تدفقات عامة، متجاوزة عناصر التحكم في المصادقة. تشكل هذه الثغرة خطراً كبيراً على المنظمات التي تستخدم Langflow لأتمتة سير العمل ومعالجة البيانات.

🤖 AI Intelligence Analysis Analyzed: Apr 11, 2026 17:00

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking energy telecom healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1059 T1078 T1021

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Immediately apply vendor security patches and updates for Langflow. Implement network segmentation to restrict access to Langflow instances. Enable and enforce strong authentication mechanisms. Monitor for suspicious flow creation activities. If patches are unavailable, discontinue use or isolate the affected systems from production environments. Follow CISA BOD 22-01 guidance for cloud service security.

🔧 خطوات المعالجة (العربية)

طبق فوراً تصحيحات الأمان والتحديثات من المورد لـ Langflow. طبق تقسيم الشبكة لتقييد الوصول إلى مثيلات Langflow. فعّل وأرغم آليات المصادقة القوية. راقب أنشطة إنشاء التدفقات المريبة. إذا لم تتوفر التصحيحات، توقف الاستخدام أو عزل الأنظمة المتأثرة عن بيئات الإنتاج. اتبع إرشادات CISA BOD 22-01 لأمان خدمات السحابة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1 5.3.1

🔵 SAMA CSF

AC-2 AC-3 AC-6 SI-10

🟡 ISO 27001:2022

A.9.2.1 A.9.2.2 A.9.2.5 A.14.2.1

🔗 References & Sources 0

No references.

📊 CVSS Score

9.8

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.8

Exploit No

Patch ✗ No

CISA KEV🇺🇸 Yes

Published 2026-03-25

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev cisa exploit-known

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-33017

Introduce Yourself

Sign In Required