事件经过
langflow-ai/langflow 至 1.9.3 版本的漏洞允许通过包 URL 加载程序组件进行代码注入。该攻击需要本地访问权限。供应商未对负责任披露作出回应。CVSS 5.3 中等;发布于 2026-06-22。GitHub 上有 PoC 文章。
影响分析
Langflow 是一个广泛部署的可视化 LLM 工作流构建器。包 URL 加载程序用于在启动时加载自定义组件。这里的代码注入意味着恶意包 URL(例如,嵌入在共享 Langflow 配置或流文件中)可以在 Langflow 进程启动时执行任意代码,破坏整个 AI 管道以及环境中加载的任何凭证或 API 密钥。
攻击途径
本地攻击者(或能够影响 Langflow 配置的远程攻击者)向包 URL 加载程序提供恶意包 URL,实现启动时代码注入。
受影响系统
langflow-ai/langflow ≤ 1.9.3
缓解措施
将 Langflow 升级至 1.9.3 之后的版本。NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12822;PoC:https://github.com/dxz0069/softwareoverflow/blob/main/langflow_bundle_url_custom_component_startup_rce_vulndb.md