事件经过
IBM Langflow OSS 版本 1.0.0 至 1.8.4 允许未认证的攻击者访问受保护的 MCP 项目资源并执行 MCP 操作,原因是 Streamable MCP 传输端点中的授权实施不当(CWE-287:身份验证不当)。CVSS 3.1 向量为 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。IBM 于 2026-06-21 发布了公告;CVE 记录于 2026-06-22 发布。
影响分析
Langflow 是一个部署广泛的可视化 LLM/代理工作流构建器。拥有网络访问权限的未认证攻击者可以调用 MCP 工具——包括代码执行和数据检索工具——而无需任何凭证,从而能够完全破坏服务器上运行的任何 AI 工作流。IBM 指出不存在解决方法;需要立即升级。
攻击途径
向 Streamable MCP 传输端点发送的远程未认证 HTTP 请求;无需凭证或用户交互。
受影响系统
Langflow OSS 1.0.0 – 1.8.4
缓解措施
升级至 Langflow OSS 1.9.1。无解决方法可用。IBM 公告:https://www.ibm.com/support/pages/node/7277243