攻击者在数小时内利用Langflow关键RCE漏洞，CISA紧急拉响警报

攻击者在漏洞披露后数小时内就利用了Langflow的关键远程代码执行RCE漏洞促使美国网络安全和基础设施安全局CISA将其正式标记为需紧急修复的漏洞。该漏洞允许攻击者在无需凭证的情况下在易受攻击的Langflow实例上运行任意代码。在这个开源AI管道工具披露漏洞后仅20小时攻击者就将其武器化。根据Sysdig的报告犯罪分子在易受攻击的实例上线后立即开始攻击跨多个云提供商和地区的蜜罐节点群。Sysdig在部署后数小时内观察到四次此类尝试其中一名攻击者成功窃取了环境变量。这很值得注意因为在第一次攻击发生时GitHub上还没有公开的PoC仓库Sysdig研究人员表示。公告本身包含了足够的细节易受攻击的端点路径和通过流节点定义进行代码注入的机制攻击者无需额外研究就能构建有效的漏洞利用程序。CISA已将该漏洞添加到其已知被利用漏洞KEV目录中敦促联邦机构在2026年4月8日前修补系统。默认设置允许代码注入该漏洞被追踪为CVE-2026-33017源于Langflow中一个暴露的API端点。Langflow是用于构建AI Agent和检索增强生成RAG管道的开源可视化框架。根据NVD描述这个暴露点允许攻击者提交包含嵌入式Python代码的恶意工作流数据。应用程序没有使用可信数据而是在没有任何沙箱保护的情况下执行攻击者提供的代码导致在受影响系统上实现未经身份验证的远程代码执行。build_public_tmp端点设计为无需身份验证用于公共流但错误地接受了攻击者提供的包含任意可执行代码的流数据描述补充道。这与CVE-2025-3248不同后者通过添加身份验证修复了/api/v1/validate/code。这个代码注入漏洞影响Langflow 1.8.2及以下版本已在v1.9.0中修复。由于无需身份验证和简单的可利用性、庞大的AI攻击面以及高影响它获得了CVSS 9.3分满分10分的关键评级。漏洞利用速度引发担忧Sysdig指出在漏洞公开后不到一天就观察到了利用活动这表明威胁行为者可能通过自动化能够快速将新漏洞投入实战。攻击者仅根据公告描述就能构建有效的漏洞利用程序并迅速开始扫描存在缺陷的实例。窃取的信息包括密钥和凭证这些信息提供了对连接数据库的访问权限并可能导致软件供应链受损Sysdig研究人员表示。随着修补窗口显著缩短运行时检测成为主要也是唯一的选择Sysdig指出。这次活动中的每个攻击者都遵循相同的攻击后剧本通过Python的os.popen()执行shell命令然后通过HTTP窃取输出它补充说运行时规则可以检测这些尝试。研究人员解释说运行时检测的帮助在于它能在零日发挥作用。这些规则不需要专门针对CVE-2026-33017的签名因为它们检测的是利用行为而不是漏洞。无论初始访问是通过CVE-2026-33017、CVE-2025-3248还是应用程序中的任何其他RCE实现的同样的规则都会触发。Sysdig还分享了一份入侵指标IOCs列表包括攻击者源IP、检测到的C2和暂存基础设施、Dropper URL和interactsh回调域。它建议立即升级到修补版本限制暴露并监控异常活动强调应将暴露的实例视为可能已遭入侵。