Tre CVE che colpiscono l'implementazione MCP di Langflow — CVE-2026-7663 (IBM CVSS 9.8), CVE-2026-55255 (CVSS 8.4) e CVE-2026-49257 in mcp-pinot (CVSS 10.0) — rivelano un cedimento sistemico dello strato di autorizzazione del trasporto MCP Streamable, con raccolta attiva di credenziali confermata l'8 luglio 2026 su circa 7.000 istanze Langflow esposte su internet e catalogate dalla CISA nel registro delle vulnerabilità note attivamente sfruttate.
Per chi vuole approfondire, Grace Certified offre l'esame di certificazione Grace Certified.
Langflow è un framework visuale open source per la costruzione di workflow AI agentici, distribuito su piattaforme SaaS enterprise e stack di tooling per sviluppatori che integrano pipeline LLM con sistemi esterni. Il modulo MCP Composer connette i progetti Langflow a client MCP esterni tramite due percorsi di trasporto: Server-Sent Events (SSE) e Streamable HTTP. I flow incorporano regolarmente chiavi API, credenziali di provider LLM, token di accesso cloud e segreti di connessione ai database — rendendo un cedimento dell'autorizzazione cross-tenant un accesso diretto all'esfiltrazione di credenziali su larga scala. Le tre vulnerabilità descritte qui risalgono a un pattern architetturale condiviso: l'enforcement dell'autenticazione nell'esecuzione degli strumenti MCP è discrezionale a livello di framework, producendo lacune che si amplificano nel momento in cui un'istanza raggiunge una rete condivisa o un deployment multi-tenant.
CVE-2026-7663: il trasporto Streamable abbandona completamente l'autorizzazione
IBM ha divulgato CVE-2026-7663 (CVSS 9.8) contro le versioni OSS di Langflow dalla 1.0.0 alla 1.9.6, documentando un bypass completo dell'autorizzazione nell'endpoint del trasporto MCP Streamable. Con MCP Composer attivo e i progetti configurati in modalità OAuth o di autenticazione diversa da API key, un chiamante remoto privo di credenziali accede alle risorse protette del progetto ed esegue operazioni MCP a zero credenziali richieste. Il trasporto SSE applica correttamente l'autorizzazione; il percorso Streamable presenta una lacuna a livello di design esterna al perimetro del modello di sicurezza. L'advisory IBM ha validato quattro scenari di proof-of-concept: scoperta cross-utente degli strumenti, accesso cross-utente ai file, esposizione di file a livello superuser e tool execution anonima con contesto superuser completo. I due percorsi di trasporto divergono esattamente al controllo di autorizzazione, e quella divergenza costituisce l'intera superficie di attacco. Langflow 1.9.7 risolve la lacuna applicando semantiche di autorizzazione coerenti su entrambi i percorsi di trasporto.
CVE-2026-55255: l'IDOR trasforma l'accesso autenticato in un deposito di credenziali
CVE-2026-55255 (CVSS 8.4, CWE-639: Authorization Bypass Through User-Controlled Key) colpisce le versioni di Langflow precedenti alla 1.9.2 tramite l'endpoint /api/v1/responses, che accetta l'ID di un flow come parametro fornito dal chiamante ed esegue il flow referenziato in assenza di qualsiasi verifica di proprietà. Un attaccante con accesso a basso privilegio enumera tutti gli ID di flow tramite GET /api/v1/flows/, poi li riproduce su POST /api/v1/responses con il prompt "leak api keys" — estraendo le credenziali incorporate di ogni altro tenant sulla piattaforma. Sysdig Threat Research ha documentato questa catena di attacco esatta il 25 giugno 2026, tracciando l'IP 45.207.216.55 attraverso ricognizione applicativa, enumerazione dei flow, lo sfruttamento dell'IDOR CVE-2026-55255 e un ciclo prolungato di raccolta di credenziali concatenato all'RCE CVE-2026-33017. Poiché i flow Langflow fungono da contenitori per integrazioni — chiavi di provider LLM, token di servizi cloud, credenziali di database — l'esecuzione cross-tenant di un flow espone l'intera superficie di segreti del tenant vittima. La CISA ha aggiunto CVE-2026-55255 al catalogo il 7 luglio 2026, imponendo la remediation a tutte le agenzie civili federali statunitensi entro il 10 luglio. La patch è disponibile in Langflow 1.9.2, commit 2c9f498d664a3c32698b57d7c5e752625291060e.
CVE-2026-49257: il pattern degli insecure default MCP raggiunge CVSS 10.0
CVE-2026-49257 (CVSS 10.0) in mcp-pinot versioni 3.0.1 e precedenti dimostra l'espressione più ampia di questo cedimento: un server MCP HTTP associato per impostazione predefinita a 0.0.0.0:8080 con l'autenticazione completamente disabilitata. Ogni strumento MCP è raggiungibile da qualsiasi chiamante adiacente alla rete. Lo strumento read_query esegue istruzioni SELECT arbitrarie sul cluster Pinot configurato; create_schema e update_table_config mutano la struttura del cluster; reload_table_filters espone la configurazione dei filtri. Il server delega tutte le chiamate usando le credenziali Pinot lato server, producendo una condizione di confused-deputy classica che concede a qualsiasi chiamante anonimo accesso completo in lettura/scrittura alla piattaforma dati — un risultato CVSS 10.0 perfetto. La correzione in mcp-pinot v3.1.0 (rilasciata il 25/05/2026) riassocia l'host predefinito a 127.0.0.1, rende opt-in l'esposizione HTTP e HTTPS esterna con OAuth obbligatorio e aggiunge la validazione parser-backed a istruzione singola su read_query.
Il problema architetturale sistemico
Tutte e tre le vulnerabilità condividono una causa radice: l'autorizzazione negli strati di trasporto ed endpoint MCP è trattata come facoltativa — delegata a chiavi fornite dal chiamante in assenza di verifica server-side della proprietà. Per i team che gestiscono Langflow in ambienti SaaS multi-tenant, CVE-2026-55255 attraversa il confine del tenant interamente a livello applicativo, un rischio che la segmentazione di rete e la cifratura TLS affrontano a livello di rete piuttosto che nel punto dove esiste la lacuna. CVE-2026-7663 è altrettanto architetturale: due percorsi di trasporto con semantiche di autorizzazione incoerenti garantiscono che una configurazione SSE rafforzata produca falsa sicurezza mentre il percorso Streamable rimane accessibile. Il pattern in CVE-2026-49257 si estende all'intero ecosistema MCP: qualsiasi pacchetto server MCP distribuito con un listener associato alla rete e autenticazione disabilitata diventa un proxy confused-deputy per il sistema backend nel momento in cui raggiunge una rete condivisa. Check Point Research ha documentato una catena analoga nel checkpointer SQLite di LangGraph (SQL injection verso RCE completa), e Cyera ha confermato un path traversal nel prompt loader di LangChain-core che legge segreti dal disco. Lo strato dei framework AI agentici è diventato una superficie primaria di lateral movement negli ambienti enterprise, con il denominatore comune della stessa postura di autorizzazione discrezionale che MCP lascia agli implementatori.
La decisione per la leadership ingegneristica
I team che eseguono Langflow in qualsiasi configurazione di rete devono attuare immediatamente una remediation su tre fronti: aggiornamento a Langflow 1.9.7 per l'enforcement dell'autorizzazione del trasporto Streamable di CVE-2026-7663; aggiornamento a Langflow 1.9.2 per la remediation dell'IDOR CVE-2026-55255 — con un audit immediato di tutti i segreti incorporati nei flow su qualsiasi istanza accessibile dalla rete prima del patching; e aggiornamento di mcp-pinot a v3.1.0 per l'hardening dell'indirizzo di bind e l'enforcement OAuth obbligatorio per CVE-2026-49257. Per i team che usano LangGraph o LangChain in deployment multi-tenant, i risultati della ricerca di Check Point e Cyera richiedono una revisione separata del threat model per ogni endpoint che accetta identificatori controllati dall'utente e li delega ai sistemi backend. Il segnale architetturale più ampio: il modello di autorizzazione MCP opera come advisory a livello di protocollo, e gli implementatori di framework lo hanno distribuito come discrezionale. Ogni server MCP operante in un ambiente condiviso richiede enforcement esplicito dell'autenticazione, audit logging a livello di chiamata strumento e validazione per-request della proprietà sui percorsi di trasporto Streamable. Le configurazioni MCP predefinite richiedono revisione attiva di hardening prima di qualsiasi deployment in produzione.
Articolo di LEON — AI Agents & Systems
LEON copre lo strato tecnico dove gli agenti AI vengono costruiti e distribuiti. Fonte: codice, documentazione, CVE.