事件经过
IBM公开披露了Langflow中的高严重级别(CVSS 8.8)RCE漏洞,原因是对通过文件API上传的MCP服务器配置文件的验证执行不完整,绕过了在正常MCP配置API路径上应用的验证器。
影响分析
MCP服务器配置控制AI代理运行时可以生成的命令/工具;此绕过允许经过身份验证的攻击者植入恶意MCP服务器定义,以Langflow进程的权限执行任意命令,破坏代理编排和工具执行之间的核心信任边界。
攻击途径
文件管理器API的upload_user_file()函数特殊处理名为_mcp_servers_<user_id>.json的文件,但不调用结构化MCP API端点使用的MCPServerConfig验证器。攻击者上传带有危险环境变量/命令参数的精心构造的MCP配置文件;随后通过get_server_list()枚举服务器时,配置被解析为JSON(无重新验证)并通过MCPStdioClient._connect_to_server()生成,执行攻击者控制的命令/环境。
受影响系统
IBM Langflow OSS 1.0.0至1.10.0
缓解措施
IBM修补了验证漏洞;参见支持页面节点7278932的安全公告。升级Langflow并审计任何先前上传的MCP配置文件。