CISA ostrzega przed aktywnie wykorzystywanymi zagrożeniami: krytyczne RCE w Langflow i kompromitacja łańcucha dostaw Trivy

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o dwa nowe zagrożenia, które bardzo gwałtownie przeszły od publicznego ujawnienia do realnych ataków. Sprawa dotyczy podatności CVE-2026-33017 w projekcie Langflow oraz incydentu oznaczonego jako CVE-2026-33634, związanego z kompromitacją łańcucha dostaw narzędzia Trivy.

Oba przypadki dobrze pokazują zmianę charakteru współczesnych zagrożeń. Organizacje muszą dziś bronić się nie tylko przed klasycznymi błędami w kodzie aplikacji, ale również przed naruszeniem integralności procesu dystrybucji oprogramowania, repozytoriów, obrazów kontenerowych i komponentów używanych w CI/CD.

W skrócie

CVE-2026-33017 to krytyczna luka umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia w Langflow, otwartoźródłowym frameworku wykorzystywanym do budowy agentów AI i przepływów pracy. Problem dotyczy wersji 1.8.2 i starszych i może być wykorzystywany przez publiczny endpoint odpowiedzialny za budowanie flow.

CVE-2026-33634 nie opisuje typowej podatności programistycznej, ale skutki kompromitacji łańcucha dostaw Trivy. W ramach incydentu opublikowano złośliwe wydanie Trivy v0.69.4, podmieniono tagi w repozytoriach GitHub Actions oraz rozprowadzono złośliwe obrazy kontenerowe.

• Langflow: krytyczne RCE bez uwierzytelnienia
• Trivy: zaufane artefakty i tagi wykorzystane do dystrybucji złośliwego kodu
• CISA uznała oba przypadki za aktywnie wykorzystywane zagrożenia
• Ryzyko obejmuje zarówno serwery aplikacyjne, jak i środowiska CI/CD

Kontekst / historia

Langflow już wcześniej pojawiał się w analizach bezpieczeństwa z powodu podobnych klas problemów. Poprzednie incydenty wskazywały na ryzyko związane z niebezpiecznym przetwarzaniem danych wejściowych w komponentach obsługujących publiczne przepływy. Najnowszy przypadek sugeruje, iż mimo wcześniejszych działań naprawczych podobna słabość mogła przetrwać w innym obszarze aplikacji.

W przypadku Trivy skala problemu pozostało większa. To jedno z najpopularniejszych narzędzi wykorzystywanych do skanowania podatności, konfiguracji i artefaktów kontenerowych. Kompromitacja nie objęła jednego pliku czy pojedynczego pakietu, ale wiele elementów ekosystemu dystrybucji, w tym wydania binarne, obrazy kontenerowe i akcje GitHub używane w zautomatyzowanych pipeline’ach.

Taki model ataku jest szczególnie groźny dla organizacji opierających się na automatyzacji. Złośliwy komponent może zostać uruchomiony w pełni legalnie w ramach standardowego procesu budowania, testowania lub wdrażania, jeżeli zespół ufa tagom, domyślnym odwołaniom do wersji i automatycznie pobieranym artefaktom.

Analiza techniczna

W Langflow problem dotyczył publicznego endpointu build, który miał umożliwiać wykonywanie operacji bez logowania. Odpowiednio przygotowany ładunek pozwalał atakującemu doprowadzić do wykonania arbitralnego kodu po stronie serwera. Szczególnie niepokojące jest tempo operacjonalizacji zagrożenia, ponieważ pierwsze próby wykorzystania pojawiły się bardzo gwałtownie po ujawnieniu szczegółów technicznych.

Skutki takiego dostępu mogą być szerokie. Po przejęciu hosta z Langflow napastnik może pozyskać klucze API, poświadczenia do baz danych, sekrety środowiskowe oraz dane integracyjne wykorzystywane przez workflow AI. jeżeli instancja łączy się z usługami chmurowymi, modelami, repozytoriami danych lub brokerami wiadomości, incydent może gwałtownie wyjść poza pojedynczy serwer.

W Trivy mowa o kompromitacji procesu dostarczania zaufanego oprogramowania. Atakujący opublikowali złośliwe wydanie Trivy v0.69.4, przepięli znaczniki wersji w repozytoriach aquasecurity/trivy-action oraz aquasecurity/setup-trivy do złośliwych commitów, a także rozprowadzili złośliwe obrazy kontenerowe. Z perspektywy technicznej jest to wyjątkowo niebezpieczny wariant ataku na łańcuch dostaw, ponieważ użytkownik uruchamia złośliwy kod, korzystając z pozornie prawidłowych i zaufanych odwołań.

Zagrożenie nie ogranicza się wyłącznie do bezpośrednich użytkowników Trivy. jeżeli skażone komponenty były pobierane przez workflow CI/CD, złośliwy kod mógł uzyskać dostęp do sekretów pipeline’ów, tokenów repozytoriów, danych wdrożeniowych i poświadczeń chmurowych. To tworzy ryzyko wtórnych kompromitacji w innych projektach, środowiskach i organizacjach.

Konsekwencje / ryzyko

Najważniejszy wniosek płynący z CVE-2026-33017 to dalsze skrócenie czasu między ujawnieniem luki a jej aktywnym wykorzystaniem. W praktyce oznacza to, iż dla krytycznych podatności w usługach wystawionych do internetu okno bezpieczeństwa może być liczone w godzinach, a nie w dniach czy tygodniach.

Dla środowisk korzystających z Langflow ryzyko obejmuje przejęcie serwera, kradzież sekretów, ruch boczny w infrastrukturze, manipulację workflow AI oraz kompromitację systemów połączonych z aplikacją. Publicznie dostępne instancje należy traktować jako szczególnie narażone na automatyczne skanowanie i szybkie próby wykorzystania.

W przypadku Trivy zagrożenie ma charakter systemowy. Kompromitacja zaufanego narzędzia bezpieczeństwa podważa integralność procesów DevSecOps, ponieważ komponent używany do poprawy bezpieczeństwa sam staje się nośnikiem złośliwego kodu.

• kradzież sekretów i tokenów z pipeline’ów CI/CD
• kompromitacja repozytoriów oraz procesów build i deploy
• ryzyko naruszenia środowisk chmurowych i produkcyjnych
• wtórna infekcja innych projektów przez zależności i automatyzację
• utrata zaufania do integralności artefaktów i procesów release management

Rekomendacje

W przypadku Langflow organizacje powinny jak najszybciej zaktualizować środowisko do wersji usuwającej podatność oraz ograniczyć ekspozycję publicznych endpointów. jeżeli wdrożenie poprawki nie jest możliwe natychmiast, warto tymczasowo odciąć dostęp z internetu, ograniczyć ruch do zaufanych adresów i zwiększyć monitoring działań wykonywanych przez aplikację.

Równolegle należy przeprowadzić rotację kluczy API, tokenów i poświadczeń przechowywanych w instancjach Langflow. Wskazany jest również przegląd logów HTTP i systemowych pod kątem nietypowych żądań do endpointów build, a także kontrola zmiennych środowiskowych, połączeń do baz danych i ostatnich zmian konfiguracyjnych.

W odniesieniu do Trivy działania powinny objąć analizę używanych wersji, tagów i obrazów w okresie incydentu. Organizacje muszą sprawdzić historię uruchomień workflow, zweryfikować integralność pobranych artefaktów oraz zrotować wszystkie sekrety, które mogły zostać ujawnione podczas wykonania złośliwych komponentów.

• pinowanie GitHub Actions do pełnych hashy commitów zamiast tagów
• weryfikacja pochodzenia buildów i podpisywania artefaktów
• minimalizacja uprawnień tokenów CI/CD
• segmentacja i izolacja sekretów według środowisk oraz projektów
• pełna inwentaryzacja zależności bezpośrednich i pośrednich
• monitorowanie zmian w tagach, release’ach i obrazach kontenerowych
• przygotowanie procedur reagowania na incydenty łańcucha dostaw

Podsumowanie

CVE-2026-33017 i CVE-2026-33634 reprezentują dwa różne, ale równie niebezpieczne modele współczesnych zagrożeń. Pierwszy pokazuje, jak gwałtownie krytyczna luka w aplikacji internetowej może zostać wykorzystana po ujawnieniu. Drugi dowodzi, iż atak na łańcuch dostaw może zamienić zaufane narzędzie bezpieczeństwa w mechanizm dystrybucji złośliwego kodu.

Dla zespołów bezpieczeństwa najważniejszy wniosek jest prosty: samo patchowanie nie wystarcza. Skuteczna obrona wymaga szybkiego wykrywania, izolowania i analizowania incydentów, a także stałej kontroli integralności dostaw systemu i ścisłego monitorowania środowisk produkcyjnych oraz CI/CD.

Źródła

1. Help Net Security — https://www.helpnetsecurity.com/2026/03/27/cve-2026-33017-cve-2026-33634-exploited/
2. GitHub Advisory Database — Langflow Unauth RCE CVE-2025-3248 — https://github.com/advisories/GHSA-rvqx-wpfh-mfx7