cyberivy
AI SecurityLangflowCVE-2026-55255CISA KEVOpen Source AILLM SecurityCloud SecurityAI Agents

Langflow-Luecke zeigt das echte Risiko offener KI-Workflows

13. Juli 2026

Server racks with blue indicator lights in a data center aisle

CISA listet CVE-2026-55255 als aktiv ausgenutzt. Fuer Teams mit Langflow-Instanzen geht es nicht um abstrakte KI-Sicherheit, sondern um fremde Flows, Daten und Cloud-Keys.

Worum es geht

Langflow ist am 7. Juli 2026 erneut in CISA's Known Exploited Vulnerabilities Catalog gelandet. Die Schwachstelle CVE-2026-55255 betrifft eine Autorisierungspruefung in einem Endpunkt, ueber den Langflow-Flows ausgefuehrt werden. CISA setzte fuer US-Bundesbehoerden eine sehr kurze Frist bis 10. Juli 2026.

Das ist interessant, weil Langflow nicht irgendein Servertool ist. Viele Teams nutzen solche visuellen Builder, um LLMs, APIs, Vektordatenbanken und eigene Logik zusammenzustecken. Wenn so ein System offen im Netz steht, liegt dort oft nicht nur Code, sondern auch Kontext, Secrets, Prompts und Rechenkapazitaet.

Was Langflow tatsaechlich macht

Langflow ist eine Open-Source-Plattform fuer KI-Workflows. Nutzer bauen Flows aus Knoten: ein Modell, eine Datenquelle, ein Prompt, ein Tool-Aufruf, ein Ausgabeschritt. Diese Flows koennen ueber eine Weboberflaeche bearbeitet und ueber eine REST-API ausgefuehrt werden.

Bei CVE-2026-55255 geht es laut Qualys um einen IDOR-Fehler im Endpunkt /api/v1/responses. Wenn ein Flow ueber eine UUID angesprochen wird, soll die betroffene Logik nicht sauber geprueft haben, ob der angemeldete Nutzer diesen Flow wirklich besitzt. Ein Angreifer mit Zugang konnte dadurch fremde Flows ausfuehren oder deren Daten beruehren.

Warum das wichtig ist

CISA markiert nur Schwachstellen als KEV, wenn es Hinweise auf aktive Ausnutzung gibt. BleepingComputer berichtet zudem, dass Sysdig Ausnutzung ab 25. Juni 2026 beobachtet habe. Das Ziel sei nicht akademisch gewesen: kompromittierte KI-Hosts liefern Compute, Zugangsdaten und manchmal direkte Cloud- oder LLM-Schluessel.

Der Fall passt in ein groesseres Muster. KI-Builder werden schnell ausgerollt, weil sie produktiv wirken. Gleichzeitig landen sie oft wie normale Webapps in Containern, hinter schwachen Auth-Grenzen oder mit zu weit reichenden Tokens. Genau dort wird aus einem Workflow-Tool ein lohnendes Angriffsziel.

Einfach erklaert

Stell dir ein Buero vor, in dem jede Abteilung eigene Schubladen hat. Der Hausmeister hat zwar einen Ausweis fuer das Gebaeude, sollte aber nicht automatisch jede Schublade oeffnen duerfen. Bei einem IDOR-Fehler ist die Schubladennummer der Trick: Wer die Nummer erratet oder kennt, kommt an Dinge, die ihm nicht gehoeren.

Bei Langflow sind diese Schubladen die Flows. In ihnen koennen Prompts, Datenverbindungen, API-Aufrufe und Ergebnisse liegen. Deshalb ist die Grenze zwischen Nutzern hier keine Formalitaet, sondern die eigentliche Sicherheitslinie.

Praktisches Beispiel

Ein mittelgrosses SaaS-Team betreibt Langflow fuer internen Support. Es gibt 120 Flows, davon 18 mit Zugriff auf CRM-Daten und 6 mit Cloud-Funktionen. Ein Angreifer erbeutet einen einfachen Benutzerzugang und probiert 5.000 Flow-IDs aus alten Logs oder API-Antworten. Wenn die Instanz verwundbar ist, kann er fremde Flows starten und Ergebnisse lesen, ohne Admin zu sein.

Der konkrete Schaden haengt von der Umgebung ab. Bei einem harmlosen Demo-Flow passiert wenig. Bei einem Produktionsflow mit Kundendaten, LLM-Keys oder Cloud-Rollen kann daraus ein Datenleck oder ein Sprungbrett fuer weitere Angriffe werden.

Einordnung und Grenzen

  • Die Berichte belegen aktive Ausnutzung, aber nicht, dass jede Langflow-Installation kompromittiert wurde.
  • Der wichtigste Fix ist ein Update auf Langflow 1.9.1 oder neuer; Netzwerkisolation ersetzt diesen Patch nicht.
  • Wer Langflow nur lokal ohne erreichbare API nutzt, hat ein anderes Risikoprofil als Teams mit Internet-exponierten Instanzen und gemeinsam genutzten Workspaces.

SEO- und GEO-Schluesselbegriffe

Langflow, CVE-2026-55255, CISA KEV, AI workflow security, IDOR vulnerability, AI agents, LLM security, cloud keys, open source AI, Sysdig, Qualys, BleepingComputer

💡 Im Klartext

Eine aktiv ausgenutzte Langflow-Luecke kann dazu fuehren, dass angemeldete Nutzer fremde KI-Flows ausfuehren. Wer Langflow betreibt, sollte auf Version 1.9.1 oder neuer aktualisieren und offene Instanzen sofort pruefen.

Wichtigste Erkenntnisse

  • CISA fuehrte CVE-2026-55255 am 7. Juli 2026 als aktiv ausgenutzt.
  • Betroffen sind Langflow-Versionen vor 1.9.1.
  • Der Fehler liegt in einer Autorisierungspruefung fuer Flow-Ausfuehrungen.
  • Das Risiko betrifft Daten, Prompts, Ressourcenverbrauch und moegliche Cloud- oder LLM-Schluessel.
  • Internet-exponierte und gemeinsam genutzte Langflow-Instanzen haben das hoechste Risiko.

Häufige Fragen

Welche Version sollte installiert sein?

Langflow 1.9.1 oder neuer. Zusaetzlich sollten erreichbare Instanzen auf Missbrauchsspuren geprueft werden.

Ist jeder Nutzer automatisch betroffen?

Nein. Das Risiko haengt davon ab, ob Langflow erreichbar ist, welche Version laeuft und welche Daten oder Tokens in Flows genutzt werden.

Warum ist das eine KI-spezifische Sicherheitsmeldung?

Weil Langflow KI-Workflows, Modellzugriffe und Datenverbindungen verbindet. Ein Zugriff auf fremde Flows kann mehr bedeuten als nur eine normale Webapp-Aktion.

Quellen & Kontext