CVE-2026-7874: Kritisk fejl i IBM Langflow OSS
Kritisk fejl i IBM Langflow OSS afslører alle gemte adgangskoder pga. svag kryptering — opdater straks.
Hvad er det?
IBM Langflow OSS er et værktøj til at bygge AI-arbejdsgange. I versionerne 1.0.0 til 1.10.0 gemmer programmet følsomme oplysninger som adgangskoder og API-nøgler i en krypteret form (dvs. forklædt og låst). Problemet er, at låsemekanismen er så svag og forudsigelig, at en angriber kan vende krypteringen om og læse alle gemte hemmeligheder i klartekst. Det svarer til at bruge en hængelås, hvis kombinationskode altid er ‘1234’. Sårbarheden er registreret under CWE-338, som dækker brug af kryptografisk svage tilfældighedsgeneratorer.
Hvem rammer det?
Sårbarheden rammer alle organisationer og virksomheder, der anvender IBM Langflow OSS i version 1.0.0 til og med 1.10.0. Det gælder typisk:
- Udviklere og teams der bruger Langflow til at bygge eller afvikle AI-løsninger og automatiseringsflows.
- Virksomheder der har integreret Langflow med andre systemer via API-nøgler eller adgangskoder gemt i applikationen.
- IT-afdelinger der drifter Langflow på egne servere eller i skyen.
Har du ikke Langflow installeret, er du ikke berørt af denne specifikke sårbarhed.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende få adgang til alle gemte legitimationsoplysninger i Langflow — herunder adgangskoder, API-nøgler og forbindelsesdetaljer til andre systemer. Konsekvenserne kan være:
- Angriberen overtager konti på tjenester som er forbundet til Langflow (f.eks. databaser, cloud-tjenester, mailudbydere).
- Fortrolige forretningsdata og kundeoplysninger kompromitteres.
- Angriberen bevæger sig videre ind i virksomhedens øvrige systemer ved hjælp af de stjålne adgangskoder.
- Brud på GDPR-forpligtelser hvis persondata er tilgængeligt via de kompromitterede systemer.
Fortrolighed og integritet er begge i fare. Angrebet kræver ingen login og kan udføres over internettet.
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,1 ud af 10 (Kritisk) på CVSS-skalaen. Det er en af de højest mulige vurderinger. Årsagerne til den høje score er:
- Netværksbaseret angreb: Angrebet kan gennemføres over internettet — angriberen behøver ikke fysisk adgang.
- Lav kompleksitet: Det kræver ingen avancerede tekniske færdigheder at udnytte fejlen.
- Ingen login nødvendigt: Angriberen skal hverken have en konto eller særlige rettigheder.
- Ingen brugerinteraktion: Ingen medarbejder behøver at klikke på noget for at udløse angrebet.
Den eneste dæmpende faktor er, at systemets tilgængelighed (dvs. om det kører) ikke påvirkes direkte.
Hvad gør jeg nu?
Følg disse trin hurtigst muligt — helst inden for 24-48 timer:
- Find ud af om I bruger Langflow: Spørg din IT-ansvarlige eller leverandør, om IBM Langflow OSS er installeret i jeres miljø, og hvilken version det er.
- Opdater til nyeste version: Opgradér Langflow til en version nyere end 1.10.0, så snart en rettet version er tilgængelig. Følg IBMs officielle sikkerhedsopdateringer.
- Udskift alle gemte legitimationsoplysninger: Skift alle adgangskoder og API-nøgler der er gemt i Langflow — behandl dem som kompromitterede, uanset om I har registreret angreb eller ej.
- Gennemgå adgangslogge: Bed din IT-ansvarlige om at tjekke logfiler for usædvanlig aktivitet på de systemer, som Langflow er forbundet til.
- Begræns netværksadgang midlertidigt: Hvis I ikke kan opdatere med det samme, så begræns adgangen til Langflow-installationen til kun betroede netværk eller interne brugere via en firewall.
- Anmeld brud om nødvendigt: Har I grund til at tro, at data allerede er kompromitteret, skal I vurdere om I har pligt til at anmelde det til Datatilsynet inden for 72 timer.
Handl inden for 24-48 timer
Hos Auroa anbefaler vi, at I behandler denne sårbarhed som en akut hændelse. Opdatér Langflow øjeblikkeligt og udskift alle gemte legitimationsoplysninger — uanset om I tror, at I er blevet angrebet. Fordi krypteringen kan vendes om, skal I gå ud fra, at alle gemte hemmeligheder er kendte af potentielle angribere. Har I brug for hjælp til at vurdere omfanget eller gennemføre oprydningen, er I velkomne til at kontakte os.
Tidslinje
Konkrete eksempler
Angriber udtrækker API-nøgler til cloud-tjenester
En virksomhed bruger Langflow til at forbinde deres AI-løsning med Amazon Web Services (AWS). API-nøglen til AWS er gemt krypteret i Langflow. En angriber, der har adgang til Langflows datalagringssted — f.eks. via en usikret server — bruger den kendte svage krypteringsmekanisme til at vende krypteringen om og aflæse API-nøglen i klartekst. Herefter logger angriberen ind i virksomhedens AWS-konto og kan tilgå eller slette data, oprette nye ressourcer eller stjæle fortrolige filer.
Databaseadgangskoder kompromitteres og kundedata stjæles
Et team har gemt adgangskoden til deres kundedatabase i Langflow for at automatisere databehandling. En angriber udnytter sårbarheden til at dekryptere og aflæse adgangskoden, logger derefter direkte ind i databasen og eksporterer alle kundeoplysninger. Virksomheden opdager ikke adgangen, fordi det sker med gyldige legitimationsoplysninger og ikke udløser alarm. Resultatet er et alvorligt GDPR-brud med krav om anmeldelse til Datatilsynet.
Intern angriber bruger adgangskoder til lateral bevægelse
En utilfreds medarbejder med adgang til Langflow-serveren udnytter den svage kryptering til at udtrække gemte adgangskoder til interne systemer, som vedkommende normalt ikke har adgang til. Med disse legitimationsoplysninger bevæger medarbejderen sig videre til andre systemer i virksomhedens netværk — f.eks. HR-systemer eller økonomiplatforme — og tilgår fortrolige oplysninger. Fordi adgangen sker med gyldige adgangskoder, er det svært at opdage i tide.
Ofte stillede spørgsmål
Hvad er Langflow, og bruger vi det?
IBM Langflow OSS er et open source-program til at bygge automatiserede AI-workflows — f.eks. til at forbinde sprogmodeller med databaser eller andre tjenester. Det bruges typisk af udviklingsteams. Spørg din IT-ansvarlige eller softwareleverandør, om det er installeret i jeres infrastruktur.
Kan vi se om vi allerede er blevet angrebet?
Det er svært at opdage, fordi angrebet ikke nødvendigvis efterlader tydelige spor i Langflow selv. Se i stedet efter usædvanlig aktivitet på de konti og systemer, som Langflow er forbundet til — f.eks. ukendte login-forsøg eller uventede dataoverførsler. En IT-sikkerhedsprofessionel kan hjælpe med at gennemgå logfiler.
Er vi beskyttet, hvis Langflow ikke er tilgængeligt fra internettet?
En angriber har lettere ved at udnytte fejlen, hvis Langflow er eksponeret direkte mod internettet. Men selv en intern installation indebærer risiko — f.eks. hvis en kompromitteret medarbejdercomputer eller et andet system på netværket bruges som springbræt. Opdatering og udskiftning af legitimationsoplysninger er nødvendigt uanset placering.
Har vi pligt til at anmelde dette til Datatilsynet?
Hvis I har grund til at tro, at persondata er blevet kompromitteret som følge af denne sårbarhed, har I under GDPR pligt til at anmelde det til Datatilsynet inden for 72 timer. Kontakt jeres juridiske rådgiver eller en databeskyttelsesrådgiver (DPO) for at vurdere, om jeres situation udløser denne pligt.
Hjælper det at skifte adgangskode i Langflow uden at opdatere?
Nej, ikke alene. Problemet er selve krypteringsmekanismen i softwaren. Nye adgangskoder gemt i en ikke-opdateret version vil blive krypteret med den samme svage metode og vil derfor stadig kunne afsløres. I skal opdatere softwaren og skifte legitimationsoplysninger.
Hvad betyder CVSS-score 9,1, og skal vi bekymre os?
CVSS er en international standard for at måle, hvor alvorlig en sårbarhed er, på en skala fra 0 til 10. En score på 9,1 placerer sig i kategorien ‘Kritisk’ og betyder, at sårbarheden er nem at udnytte og kan have stor skadevirkning. Ja, I bør tage den alvorligt og handle hurtigt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
IBM Langflow OSS 1.0.0 through 1.10.0 Langflow could allow disclosure of all stored credentials due to the use of a weak and reversible key derivation mechanism for encryption at rest.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
