Apa yang terjadi
Penanganan unggah file Langflow menerima nama file seperti '../../app.py' dan menulis file ke lokasi arbitrer. Ini memungkinkan penyerang tanpa autentikasi menulis file Python ke direktori aplikasi dan menjalankannya. Perbaikan tersedia pada Februari 2026, tetapi banyak instans tetap tidak diperbaiki. Pada Juni 2026, eksploitasi aktif dikonfirmasi di seluruh ribuan instans.
Mengapa penting
Instans Langflow menyimpan kunci API untuk OpenAI, Anthropic, dan penyedia LLM lainnya, plus kredensial basis data dan data pelanggan. RCE pada instans Langflow memberikan penyerang akses ke seluruh pipeline RAG/agen, termasuk basis data vektor, kredensial model, dan agen yang menghadap pelanggan.
Vektor serangan
Endpoint unggah file gagal untuk membersihkan parameter 'filename' dalam data formulir multipart. Penyerang dapat menggunakan urutan penelusuran jalur (../) untuk menulis file arbitrer ke lokasi di luar direktori unggahan yang dimaksudkan, termasuk file Python di direktori aplikasi. Dengan mengunggah file .py dengan kode berbahaya dan kemudian mengaksesnya melalui server HTTP, penyerang mencapai RCE.
Sistem yang terdampak
Langflow 1.8.4 dan lebih awal; endpoint unggah file POST /api/v2/files
Mitigasi
Tingkatkan Langflow ke versi setelah 1.8.4. Implementasikan validasi input ketat dan batasi lokasi penulisan file. Terapkan aturan WAF untuk memblokir muatan penelusuran jalur.