事件经过
Langflow 的 POST /api/v2/files 文件上传端点未能对多部分表单数据中的"filename"参数进行清理,攻击者可通过 ../ 路径遍历序列在主机文件系统的任意位置写入文件。因为 Langflow 默认启用未认证自动登录,不需要凭证 — 单个未认证的 HTTP 请求就能生成有效的会话令牌。VulnCheck 蜜罐检测到 2026 年 6 月 8-10 日开始的野外利用,攻击者在易受攻击的实例上放置测试文件作为基于 cron 的反向 shell 的前兆。大约 7,000 个 Langflow 实例在互联网上公开暴露。Tenable 在 3 月 27 日公开披露,此前进行了三次失败的供应商联系尝试;补丁发布在 langflow-base 0.8.3 和 Langflow 1.10.0 (2026 年 6 月 10 日发布)。
影响分析
Langflow 是一个广泛使用的可视化平台,用于构建 AI 代理、RAG 管道和基于 MCP 的工作流 (149,000+ GitHub stars)。利用可在运行 AI 编排层的主机上获得未认证的根级代码执行,允许攻击者泄露模型 API 密钥、污染代理内存/数据、重定向代理工具调用或深入渗透 AI 基础设施。这是 2026 年第二个被活跃利用的 Langflow RCE,民族国家组织 MuddyWater 之前与 Langflow 利用有关联。
攻击途径
对 /api/v2/files 的未认证 HTTP POST,filename 参数中包含 ../ 序列;自动登录默认设置提供无需凭证的会话令牌,可直接写入文件到 /etc/cron.d/ 或放置 web shell 以实现 RCE
受影响系统
Langflow < 1.9.0 (应用程序)、langflow-base < 0.8.3;所有启用 AUTO_LOGIN 且公开互联网暴露的版本
缓解措施
升级到 Langflow 1.10.0 (langflow-base 0.8.3)。禁用 AUTO_LOGIN (设置 LANGFLOW_AUTO_LOGIN=false)。阻止公开互联网访问端口 7860。如果在补丁前暴露,假设已被攻破并审计文件系统中的未授权 cron 作业和 web shell。公告:https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/