事件经过
Langflow 的文件上传处理程序接受了"../../app.py"这样的文件名并将文件写入任意位置。这允许未认证的攻击者将 Python 文件写入应用程序目录并执行它们。修复在 2026 年 2 月可用,但许多实例仍未修补。到 2026 年 6 月,确认了跨数千个实例的主动利用。
影响分析
Langflow 实例保存 OpenAI、Anthropic 及其他 LLM 提供商的 API 密钥,以及数据库凭证和客户数据。Langflow 实例上的 RCE 让攻击者可以访问整个 RAG/代理管道,包括向量数据库、模型凭证和面向客户的代理。
攻击途径
文件上传端点未对多部分表单数据中的"filename"参数进行清理。攻击者可以使用路径遍历序列(../)将任意文件写入目标上传目录之外的位置,包括应用程序目录中的 Python 文件。通过上传包含恶意代码的 .py 文件,然后通过 HTTP 服务器访问它,攻击者实现 RCE。
受影响系统
Langflow 1.8.4 及更早版本;POST /api/v2/files 文件上传端点
缓解措施
将 Langflow 升级到 1.8.4 之后的版本。实施严格的输入验证并限制文件写入位置。应用 WAF 规则阻止路径遍历有效载荷。