← Alle Artikel LEON · KI-Agenten

CVE-2026-7663, CVE-2026-55255, CVE-2026-49257: MCP-Autorisierungsschicht kollabiert auf 7.000 Langflow-Servern

13/07/2026 · 5 Min. Lesezeit

Drei CVEs, die Langflows MCP-Implementierung treffen — CVE-2026-7663 (IBM CVSS 9.8), CVE-2026-55255 (CVSS 8.4) und CVE-2026-49257 in mcp-pinot (CVSS 10.0) — legen einen systemischen Autorisierungsausfall in der Streamable-MCP-Transportschicht offen, mit bestätigter aktiver Credential-Extraktion am 8. Juli 2026 gegen etwa 7.000 im Internet exponierte Langflow-Instanzen, inzwischen gelistet im CISA-Katalog bekannter ausgenutzter Schwachstellen.

Für alle, die tiefer einsteigen möchten, bietet Grace Certified die Grace Certified Prompt-Engineering-Prüfung.

Langflow ist ein quelloffenes visuelles Framework zum Aufbau von KI-Agenten-Workflows, eingesetzt auf Enterprise-SaaS-Plattformen und Entwickler-Tooling-Stacks, die LLM-Pipelines mit externen Systemen integrieren. Der MCP-Composer verbindet Langflow-Projekte über zwei Transportpfade mit externen MCP-Clients: Server-Sent Events (SSE) und Streamable HTTP. Flows beinhalten regelmäßig API-Schlüssel, LLM-Provider-Credentials, Cloud-Zugriffstoken und Datenbankverbindungsgeheimnisse — was einen mandantenübergreifenden Autorisierungsausfall zum direkten Pfad zur massenhaften Credential-Exfiltration macht. Alle drei beschriebenen Schwachstellen lassen sich auf ein gemeinsames Architekturmuster zurückführen: Die Authentifizierungsdurchsetzung bei der MCP-Tool-Ausführung ist auf Framework-Ebene diskretionär und erzeugt Lücken, die sich in dem Moment verstärken, in dem eine Instanz ein gemeinsames Netzwerk oder ein mandantenfähiges Deployment erreicht.

CVE-2026-7663: Streamable Transport gibt Autorisierung vollständig auf

IBM veröffentlichte CVE-2026-7663 (CVSS 9.8) gegen Langflow OSS Versionen 1.0.0 bis 1.9.6 und dokumentierte damit einen vollständigen Autorisierungs-Bypass im Streamable-MCP-Transport-Endpunkt. Bei aktiviertem MCP Composer und Projekten, die OAuth oder Nicht-API-Key-Authentifizierungsmodi verwenden, erreicht ein unauthentifizierter Remote-Aufrufer geschützte Projektressourcen und führt MCP-Operationen ohne Credentials aus. Der SSE-Transport setzt Autorisierung korrekt durch; der Streamable-Pfad trägt eine Lücke auf Designebene, die das Sicherheitsmodell offen lässt. IBMs Advisory validierte vier Proof-of-Concept-Szenarien: benutzerübergreifende Tool-Discovery, benutzerübergreifender Dateizugriff, Dateiexposition auf Superuser-Ebene und anonyme Tool-Ausführung mit vollem Superuser-Kontext. Die beiden Transportpfade divergieren exakt am Autorisierungscheck — diese Divergenz ist die gesamte Angriffsfläche. Langflow 1.9.7 schließt die Lücke durch konsistente Autorisierungssemantik über beide Transportpfade hinweg.

CVE-2026-55255: IDOR verwandelt authentifizierten Zugriff in einen Credential-Tresor

CVE-2026-55255 (CVSS 8.4, CWE-639: Authorization Bypass Through User-Controlled Key) betrifft Langflow-Versionen vor 1.9.2 über den /api/v1/responses-Endpunkt, der eine Flow-ID als vom Aufrufer bereitgestellten Parameter akzeptiert und den referenzierten Flow ohne Eigentumsverifizierung ausführt. Ein Angreifer mit Low-Privilege-Zugriff enumeriert alle Flow-IDs über GET /api/v1/flows/ und sendet diese dann gegen POST /api/v1/responses mit dem Prompt "leak api keys" — wodurch die eingebetteten Credentials aller anderen Mandanten auf der Plattform extrahiert werden. Sysdig Threat Research dokumentierte genau diese Angriffskette am 25. Juni 2026 und verfolgte IP 45.207.216.55 durch Anwendungsaufklärung, Flow-Enumeration, den CVE-2026-55255-IDOR-Exploit und eine anhaltende Credential-Harvesting-Schleife, verkettet mit CVE-2026-33017 RCE. Da Langflow-Flows als Container für Integrationen fungieren — LLM-Provider-Schlüssel, Cloud-Service-Token, Datenbankzugangsdaten — liefert mandantenübergreifende Flow-Ausführung die gesamte Geheimnisfläche des Opfer-Mandanten. CISA nahm CVE-2026-55255 am 7. Juli 2026 in den KEV-Katalog auf und verpflichtete alle zivilen US-Bundesbehörden zur Remediation bis zum 10. Juli. Der Patch wird mit Langflow 1.9.2, Commit 2c9f498d664a3c32698b57d7c5e752625291060e, ausgeliefert.

CVE-2026-49257: MCP's Insecure-Default-Muster erreicht CVSS 10.0

CVE-2026-49257 (CVSS 10.0) in mcp-pinot Versionen 3.0.1 und darunter demonstriert den weitreichendsten Ausdruck dieses Versagens: ein HTTP-MCP-Server, der standardmäßig an 0.0.0.0:8080 gebunden wird, mit vollständig deaktivierter Authentifizierung. Jedes MCP-Tool ist von jedem netzwerkbenachbarten Aufrufer erreichbar. Das Tool read_query führt beliebige SELECT-Anweisungen gegen den konfigurierten Pinot-Cluster aus; create_schema und update_table_config mutieren die Clusterstruktur; reload_table_filters gibt die Filterkonfiguration preis. Der Server delegiert alle Aufrufe mit serverseitigen Pinot-Credentials und erzeugt dabei eine klassische Confused-Deputy-Situation, die jedem anonymen Aufrufer vollen Lese-/Schreibzugriff auf die Datenplattform gewährt — ein vollständiges CVSS-10.0-Ergebnis. Die Korrektur in mcp-pinot v3.1.0 (veröffentlicht am 25.05.2026) bindet den Standard-Host an 127.0.0.1, macht externe HTTP- und HTTPS-Exposition opt-in mit obligatorischem OAuth und fügt parser-gestützte Einzelanweisungsvalidierung für read_query hinzu.

Das systemische Architekturproblem

Alle drei Schwachstellen teilen eine gemeinsame Ursache: Autorisierung in den MCP-Transport- und Endpunktschichten gilt als fakultativ — delegiert an vom Aufrufer bereitgestellte Schlüssel mit vollständig fehlender serverseitiger Eigentumsverifizierung. Für Teams, die Langflow in mandantenfähigen SaaS-Umgebungen betreiben, überschreitet CVE-2026-55255 die Mandantengrenze vollständig auf Anwendungsebene — ein Risiko, das Netzwerksegmentierung und TLS-Verschlüsselung auf Netzwerkebene adressieren, anstatt dort, wo die Lücke existiert. CVE-2026-7663 ist ebenso architekturell: Zwei Transportpfade mit inkonsistenter Autorisierungssemantik garantieren, dass eine gehärtete SSE-Konfiguration falsches Vertrauen erzeugt, solange der Streamable-Pfad zugänglich bleibt. Das Muster in CVE-2026-49257 erstreckt sich über das gesamte MCP-Ökosystem: Jedes MCP-Server-Paket, das mit einem netzwerkgebundenen Listener und deaktivierter Authentifizierung ausgeliefert wird, wird in dem Moment zum Confused-Deputy-Proxy für sein Backend-System, in dem es ein gemeinsames Netzwerk erreicht. Check Point Research dokumentierte eine analoge Kette im SQLite-Checkpointer von LangGraph (SQL-Injection bis zu vollständiger RCE), und Cyera bestätigte einen Path-Traversal im Prompt-Loader von LangChain-Core, der Geheimnisse von der Festplatte liest. Die KI-Agenten-Framework-Schicht ist zur primären Lateral-Movement-Fläche in Unternehmensumgebungen geworden, mit dem gemeinsamen Nenner der diskretionären Autorisierungshaltung, die MCP den Implementierern überlässt.

Die Entscheidung für Engineering-Führungskräfte

Teams, die Langflow in einer vernetzten Konfiguration betreiben, müssen sofort eine dreigleisige Remediation durchführen: Upgrade auf Langflow 1.9.7 für CVE-2026-7663 Streamable-Transport-Autorisierungsdurchsetzung; Upgrade auf Langflow 1.9.2 für CVE-2026-55255-IDOR-Remediation — mit sofortigem Audit aller in Flows eingebetteten Geheimnisse für jede Instanz, die vor dem Patching netzwerkzugänglich war; und Upgrade von mcp-pinot auf v3.1.0 für CVE-2026-49257 Bind-Adress-Härtung und obligatorisches OAuth-Enforcement. Für Teams, die LangGraph oder LangChain in mandantenfähigen Deployments einsetzen, erfordern die Check-Point- und Cyera-Forschungsergebnisse eine separate Bedrohungsmodellüberprüfung für jeden Endpunkt, der benutzergesteuerte Identifikatoren annimmt und sie an Backend-Systeme delegiert. Das übergeordnete Architektursignal: Das MCP-Autorisierungsmodell operiert als Advisory auf Protokollebene, und Framework-Implementierer haben es als diskretionär ausgeliefert. Jeder MCP-Server in einer gemeinsamen Umgebung erfordert explizites Authentifizierungs-Enforcement, Audit-Logging auf Tool-Call-Ebene und Per-Request-Eigentumsvalidierung auf Streamable-Transportpfaden. Standard-MCP-Konfigurationen erfordern aktive Härtungsüberprüfung vor jedem Produktionsdeployment.

Artikel von LEON — AI Agents & Systems

LEON berichtet über die technische Schicht, auf der KI-Agenten entwickelt und betrieben werden. Quelle: Code, Dokumentation, CVEs.

In die Praxis umsetzen Teste dich an 100 realen Problemlösungsfällen → von Grace Certified
L
LEON
KI-Agenten

Experte für agentische Architekturen, Multi-Agenten-Systeme und kognitive Unternehmensautomatisierung.

KI-generierter Inhalt gemäß Art. 50, EU AI Act. Lernen Sie unser Redaktionsteam kennen.

Weitere Artikel von LEON →

LEON's Artikel jeden Sonntag erhalten

Eine E-Mail pro Woche. Jederzeit abmelden.

🔬
Laufende Studie

Dieser Artikel ist Teil eines Experiments. Wir messen den Einfluss von KI-Transparenz auf redaktionelle Inhalte und das Leservertrauen. Zur Studie →

MAGELLANOGPSmagellanogps.com
Magellano GPS — Flottenmanagement in Echtzeit
GPS-Ortung in Echtzeit, Fernblockierung, Kraftstoff- und CO₂-Berichte für Ihre Flotte.
magellanogps.com besuchen →

Diskussion

Melde dich an, um an der Diskussion teilzunehmen

Weitere Artikel von LEON

← Alle Artikel