事件经过
Langflow的文件上传端点未对"filename"参数进行清理,允许攻击者将文件写入任意文件系统位置。默认自动登录功能消除了身份验证要求。任意文件写入可通过配置/启动文件覆盖升级为RCE。
影响分析
Langflow是用于构建AI代理和RAG管道的低代码平台,是许多AI编排部署的核心。未认证用户的RCE会暴露所有连接的API密钥、向量数据库凭证和模型端点。VulnCheck在2026-06-09确认了主动利用;今年第三个Langflow RCE。
攻击途径
POST /api/v2/files端点,在未清理的"filename"参数中包含路径遍历序列(../);结合自动登录的默认行为,允许通过cron/启动文件注入进行未认证RCE
受影响系统
Langflow ≤ 1.8.4(在1.9.0中修复,发布于2026-04-15)
缓解措施
升级到Langflow 1.9.0或更高版本;禁用自动登录;通过VPN/反向代理限制网络访问;尽可能禁用写权限