事件经过
Langflow 的文件上传端点未能清理"filename"参数,允许路径遍历以将文件写入任意位置。VulnCheck 在 2026-06-09 确认了主动的野外利用。黑客新闻在 2026-06-10 报告了该利用。尽管修复程序已可用超过 2 个月(自 4 月 15 日起),对未修补部署的大规模利用仍在继续。
影响分析
Langflow 是构建 AI 代理、RAG 管道和基于 MCP 的工作流的主要平台。未经身份验证的 RCE 授予攻击者 Langflow 进程上下文中的完整代码执行权限,暴露代理源代码、API 集成、RAG 向量存储凭证和工具定义。攻击者可以将恶意代理或工作流注入到平台中。
攻击途径
未经身份验证的攻击者向 /api/v2/files 发送 POST 请求,使用包含目录遍历序列 (../) 的未清理"filename"参数将文件写入任意文件系统位置,通过可执行文件放置实现 RCE
受影响系统
Langflow 1.9.0 版本之前的版本(发布于 2026-04-15)
缓解措施
将 Langflow 更新到版本 1.9.0 或更高版本;审计暴露的实例以查找妥协证据