事件经过
IBM Langflow OSS 1.0.0至1.10.0版本(至提交94981c443d4918517b9e8163d70fc598dc33a32d,1.9.2之前)在Policies组件的ToolGuard集成中包含代码注入漏洞,绕过了allow_custom_components=false安全控制,管理员使用此控制来禁止在受控部署中执行自定义Python组件。NVD在2026-07-17发布此CVE,CVSS评分9.9(严重)。
影响分析
Langflow是部署最广泛的开源AI代理/工作流构建平台之一(GitHub星数超过145,000颗),并有文档记录的主动被利用的未认证RCE历史(CVE-2025-3248、CVE-2026-33017,均已添加到CISA KEV并在披露后数小时内被僵尸网络利用)。这个新漏洞击败了管理员用来防止这类代码执行攻击的特定加固控制(LANGFLOW_ALLOW_CUSTOM_COMPONENTS),这意味着认为已通过此控制缓解了先前Langflow RCE风险的组织仍然面临风险。
攻击途径
滥用Policies/ToolGuard组件注入和执行代码,尽管allow_custom_components=false已被设置,绕过预期的自定义组件执行阻止
受影响系统
IBM Langflow OSS 1.0.0至1.10.0(至1.9.2)
缓解措施
升级到1.10.0/提交94981c4之后的修补版Langflow OSS;参见IBM安全公告