Langflow零认证漏洞：低代码平台彻底沦陷

CVE-2026-33017（无鉴权远程代码执行）+ CVE-2026-33309（任意文件写入漏洞）

攻击条件：零门槛

→ 匿名用户可直接利用，无需账号、无需认证、无需权限

传播速度：惊人

→ 漏洞公开不足一日即遭武器化，黑客组织全网扫描

威胁等级：双重打击

→ 远程代码执行叠加任意文件写入，服务器彻底暴露

影响范围：极广

→ Langflow 1.8.1及以下版本全部受影响

架构缺陷：接口为"公共流程"设计，默认无需身份验证

致命弱点：攻击者可传入data参数，直接篡改数据库流程配置

代码无防护：恶意Python代码被送入exec()函数，无沙箱隔离、无输入校验、直接运行

权限失控：恶意代码以Langflow进程权限运行，可执行任意系统命令、读取任意文件

漏洞位置：/api/v2/files/文件上传端点

问题：未对路径遍历进行过滤，利用../可写入系统任意路径

后果：可植入定时任务、SSH公钥、后门程序，实现持久化控制

CVE-2026-33017影响版本：Langflow ≤ 1.8.1

CVE-2026-33309影响版本：Langflow ≤ 1.8.1

Langflow服务暴露于公网、使用默认端口（7860）

启用公共流程（Public Flow）、配置公开Webhook

版本停留在1.8.1或更低、长期未更新

服务器存储AI密钥、数据库凭证、业务敏感数据

为build_public_tmp接口强制实施身份认证，阻断未授权访问

移除data参数覆盖机制，仅接受数据库中的合法流程数据

修补文件上传的路径穿越漏洞，防止越权写入文件

引入代码沙箱机制与安全过滤，阻止恶意代码执行

Docker快速升级指令：

紧急限制公网访问：防火墙仅开放办公IP，阻止陌生IP连接7860端口

停用公共流程：移除所有Public权限的工作流，关闭临时构建接口

禁用v2文件上传：临时关闭/api/v2/files/上传接口

全面轮换密钥：立即重置OpenAI、AWS、数据库等全部敏感凭证

检查版本：查看Langflow启动页面或执行pip show langflow

检查接口：检索/build_public_tmp/、/api/v2/files/的访问日志

检查工作流：删除陌生或可疑的公共流程，核查Python代码节点

检查系统：查看/tmp、/root/.ssh/目录及定时任务中是否存在异常文件

功能设计过度开放：允许用户直接编写Python、上传任意代码、传输任意文件

安全防护形同虚设：缺少认证、沙箱、过滤和权限隔离，完全暴露

权限设置过于宽松：AI平台通常关联云密钥、数据库和文件系统，一旦攻破全部失守

迭代速度过快：重功能轻安全，补丁更新跟不上漏洞爆发