事件经过
Langflow中的一个严重的不安全直接对象引用/通过用户控制密钥的授权绕过漏洞(CWE-639、CVSS 9.9)——Langflow是用于构建AI代理/工作流的流行开源可视化框架——由Sysdig威胁研究团队确认自2026年6月25日以来遭到野外主动利用,并于2026年7月7日被添加到CISA的KEV目录中。
影响分析
Langflow是一个广泛部署的开源AI编排平台;该缺陷允许任何经过身份验证的攻击者劫持任何其他租户的AI工作流并收集嵌入在工作流中的LLM供应商密钥、云凭证和数据库密码——一条直接的、已确认的、被主动利用的凭证收集路径进入AI基础设施,不同于早期在JadePuffer勒索软件活动中使用的CVE-2025-3248 RCE缺陷。
攻击途径
get_flow_by_id_or_endpoint_name()辅助函数(src/backend/base/langflow/helpers/flow.py)通过UUID加载流而不验证请求用户是否拥有它。经过身份验证的攻击者调用/api/v1/responses端点并提供受害者的流ID,允许执行该用户的流并通过注入的提示(如"leak api keys")提取嵌入的密钥(LLM供应商API密钥、云凭证、数据库密钥)。
受影响系统
Langflow < 1.9.2;langflow-base < 0.4.0
缓解措施
立即升级到Langflow 1.9.2和langflow-base 0.4.0。CISA于2026-07-07将此添加到KEV目录中,联邦补丁截止日期为2026-07-10。审计工作流执行以查找跨租户访问,并轮换Langflow工作流中嵌入的任何凭证。