CVE-2026-10140: Kritisk fejl i IBM Langflow OSS
Fejl i IBM Langflow OSS lader en bruger misbruge andre lejeres API-nøgler og flytte regningen over på dem.
Hvad er det?
CVE-2026-10140 er en sårbarhed i IBM Langflow OSS version 1.0.0 til 1.10.0 — et værktøj til at bygge AI-drevne arbejdsgange. Fejlen opstår i den funktion, der håndterer taletilstand (voice mode). Her deles API-klienter (de forbindelser, der taler med eksterne tjenester) forkert på tværs af lejere (tenants — dvs. forskellige virksomheder eller brugere på den samme installation). En angriber med en helt almindelig brugerkonto kan manipulere denne delte tilstand, så systemet ved en fejl bruger en anden lejers API-legitimationsoplysninger til at behandle angriberens forespørgsler. Resultatet er, at regningen og ansvaret havner hos den forkerte lejer.
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der:
- Kører IBM Langflow OSS version 1.0.0 til 1.10.0 på egne servere eller i skyen.
- Har en installation, hvor flere brugere eller afdelinger (lejere) deler den samme platform.
- Bruger voice mode-funktionen i Langflow.
Selv hvis din virksomhed kun har interne brugere, kan en utilfreds eller ondsindet medarbejder med en almindelig konto udnytte fejlen til at skubbe forbrug og ansvar over på kolleger eller andre afdelinger.
Hvad kan ske?
Hvis sårbarheden udnyttes, kan følgende ske:
- Økonomisk skade: Angriberens API-kald (f.eks. til OpenAI eller andre betalingstjenester) faktureres din virksomhed eller en anden lejer i stedet for angriberen.
- Ansvarsforskydning: Handlinger udført af angriberen ser ud til at komme fra en anden bruger eller virksomhed — det kan skabe juridiske og efterforskningsrelaterede problemer.
- Datalækage (indirekte): Med adgang til en anden lejers API-nøgler kan angriberen potentielt forespørge data eller tjenester, som lejeren har adgang til.
- Tab af tillid: I en multi-tenant-opsætning undergraver det hele isolationsmodellen, som sikkerheden er bygget på.
Hvor alvorligt er det?
Sårbarheden har fået CVSS-scoren 9.6 ud af 10 — Kritisk. Det er meget alvorligt. Her er hvorfor:
- Angreb via netværket: Behøver ikke fysisk adgang — kan udnyttes over internettet.
- Lav kompleksitet: Ingen særlige tekniske færdigheder kræves.
- Kun én lav-privilegeret konto nødvendig: En helt normal brugerkonto er nok — ingen administrator-adgang.
- Ingen brugerinteraktion: Offeret behøver ikke klikke på noget eller gøre noget aktivt.
- Krydser sikkerhedsgrænser (Scope: Changed): Angrebet påvirker andre lejere end angriberen selv — en særlig alvorlig egenskab.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt, hvis du bruger IBM Langflow OSS:
- Find ud af, om du er ramt: Tjek hvilken version af Langflow OSS du kører. Er den mellem 1.0.0 og 1.10.0, er du potentielt sårbar.
- Opdatér straks: Installér en ny version af Langflow OSS, der retter fejlen. Kontrollér IBM’s og Langflow-projektets officielle kanaler for en patchet udgivelse.
- Deaktivér voice mode midlertidigt: Kan du ikke opdatere med det samme, så slå voice mode-funktionen fra, indtil en opdatering er på plads.
- Gennemse dine API-logs: Kig efter usædvanligt forbrug eller ukendte kald til dine tilknyttede API-tjenester (f.eks. OpenAI, Azure). Kontakt leverandørerne, hvis du ser uregelmæssigheder.
- Skift API-nøgler: Udskift alle API-nøgler, der er knyttet til din Langflow-installation, for en sikkerheds skyld.
- Informér berørte brugere: Kører du en multi-tenant-installation, bør du orientere dine lejere om hændelsen og de trin, du tager.
Opdatér inden for 24-48 timer
Med en CVSS-score på 9.6 og angrebsvektoren sat til netværk med lav kompleksitet bør du behandle dette som en akut sag. Deaktivér voice mode nu, og hold øje med IBM’s og Langflow-projektets officielle opdateringskanaler for en patch. Sørg desuden for at rotere (udskifte) alle API-nøgler tilknyttet installationen — det er en hurtig og effektiv måde at begrænse skaden på, selv inden en opdatering er tilgængelig. Kontakt os i Auroa, hvis du har brug for hjælp til at vurdere din eksponering eller implementere rettelsen.
Tidslinje
Konkrete eksempler
Medarbejder skubber AI-regning over på kollega
En medarbejder i en virksomhed med intern Langflow-installation opdager fejlen. Ved at manipulere cache-tilstanden i voice mode sørger medarbejderen for, at hans egne AI-forespørgsler afregnes via en kollegas eller en anden afdelings API-nøgle. Kollegaen modtager en uventet høj regning fra OpenAI, men kan ikke umiddelbart forklare forbruget — og det ser i loggene ud som om kollegaen selv har foretaget kaldene.
Ekstern bruger udnytter delt platform hos en SaaS-udbyder
En SaaS-virksomhed tilbyder Langflow OSS som en delt platform til sine kunder. En kunde med en gratis konto manipulerer det delte cache-lag, så dens API-kald behandles med en betalende kundes legitimationsoplysninger. Den betalende kunde ser sit forbrug og sin faktura eksplodere uden at have gjort noget ekstra, og SaaS-udbyderen har svært ved at bevise, hvem der reelt stod bag kaldene.
Angrebet bruges til at tilsløre uautoriseret dataadgang
En angriber med en simpel brugerkonto bruger fejlen til at sende forespørgsler til en ekstern AI-tjeneste ved hjælp af en anden lejers API-nøgle. Fordi nøglen tilhører en anden lejer, der måske har særlige rettigheder eller adgang til specifikke datasæt, kan angriberen potentielt hente information, som vedkommende normalt ikke har adgang til — og al aktivitet logges under offerets konto.
Ofte stillede spørgsmål
Hvad er en 'lejer' (tenant) i denne sammenhæng?
En lejer er en bruger, afdeling eller virksomhed, der har sit eget isolerede område på en delt platform. Tænk på det som lejligheder i samme ejendom — hver lejer bør kun have adgang til sin egen lejlighed. Denne sårbarhed svarer til, at en nøgle pludselig kan åbne naboens dør.
Skal jeg have administrator-adgang for at udnytte sårbarheden?
Nej — det er netop det, der gør den så alvorlig. En helt almindelig brugerkonto er tilstrækkelig. Det betyder, at selv en ekstern samarbejdspartner eller en ny medarbejder med basaladgang potentielt kan misbruge den.
Kan jeg opdage, om nogen allerede har udnyttet fejlen mod os?
Det er svært at opdage, fordi angrebet foregår i systemets hukommelse og cache. Det bedste du kan gøre nu, er at gennemgå dine API-logs hos de tjenester, din Langflow-installation kalder (f.eks. OpenAI eller Azure), og se om der er uventede forbrug eller kald, du ikke kan genkende. Unormale udgifter på API-regninger er et muligt tegn.
Vi bruger ikke voice mode — er vi stadig sårbare?
Ifølge de tilgængelige oplysninger er fejlen specifikt knyttet til voice mode-funktionen. Hvis I ikke bruger denne funktion, er risikoen markant lavere. Det anbefales alligevel at opdatere, da det er god praksis, og fordi det endnu ikke er fuldt afklaret, om fejlen kan udløses på andre måder.
Hvad er IBM Langflow OSS, og hvem bruger det typisk?
Langflow OSS er et open source-framework til at bygge og afvikle AI-arbejdsgange — f.eks. chatbots, stemmeassistenter eller automatiserede processer baseret på store sprogmodeller (LLM’er). Det bruges typisk af udviklere og virksomheder, der bygger interne AI-løsninger. IBM leverer en understøttet version af projektet.
Hvad sker der, hvis vi ikke opdaterer?
Uden en opdatering eller midlertidig deaktivering af voice mode forbliver installationen sårbar. I praksis risikerer I, at en ondsindet bruger skubber sine API-omkostninger over på jer, at handlinger spores tilbage til jer i stedet for den reelle afsender, og potentielt at en angriber får adgang til API-tjenester, I betaler for og er ansvarlige for.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
IBM Langflow OSS 1.0.0 through 1.10.0 voice mode contains improper shared-state handling that allows reuse of API clients across tenant boundaries. An authenticated attacker can manipulate cache state to cause requests from other users to be processed using incorrect upstream API credentials, leading to cross-tenant billing and accountability misattribution.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
