漏洞  ·  2026-07-09

Langflow 授权绕过 (IDOR) — 加入 CISA KEV,被积极利用进行跨租户凭据收集

漏洞High 影响GlobalCVE-2026-55255
CISA 于 2026 年 7 月 7 日将 CVE-2026-55255(Langflow 授权绕过漏洞,CWE-639,用户控制的密钥)添加到其已知被利用漏洞目录中,确认了主动利用。该漏洞允许经过身份验证的攻击者通过提供受害者的流程 ID 来执行任何其他用户的流程,从而暴露嵌入在流程中的机密和云凭据。
这是首次 AI 代理编排/工作流平台出现在 CISA KEV 目录中,确认了 Langflow 部署正被积极针对,用于凭据收集和横向移动到关联的云/LLM 提供商账户——这是对 AI 开发基础设施的直接、操作证实的威胁。
经过身份验证的攻击者在对 /api/v1/responses(或类似端点)的请求中指定受害者的流程 UUID 来执行另一用户的流程,收集嵌入在该流程中的 API 密钥、云凭据和 LLM 机密——这是通过用户控制的密钥进行的不安全的直接对象引用。
Langflow(包含 /api/v1/responses IDOR 补丁前的所有版本)
应用 Langflow 供应商补丁(参照 GHSA-qrpv-q767-xqq2);联邦机构需根据 CISA BOD 26-04 在 2026-07-10 前完成修复;轮换任何之前存储在暴露的 Langflow 流程中的凭据。
CISA KEV CatalogBleepingComputer - CISA orders feds to prioritize patching Langflow auth bypass flawThe Hacker News - CISA Adds 4 Actively Exploited Adobe, Joomla, and Langflow Flaws to KEV
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →