事件经过
在 Langflow 1.9.2 之前,/api/v1/responses 端点不验证 flow_id 参数的所有权。任何经过身份验证的攻击者可以在请求体中指定受害者的流 ID 来执行属于其他用户的任意流。CVSS 9.9 严重,发布于 2026-06-23。
影响分析
经过身份验证的低权限 Langflow 用户可以执行任何其他用户的 AI 代理工作流 — 包括具有特权工具访问、数据库连接和外部 API 凭证的管理员拥有的流。这破坏了 Langflow 的整个多租户隔离模型,并允许在整个 AI 项目空间中进行横向移动。
攻击途径
经过身份验证的 POST 到 /api/v1/responses,请求体中包含受害者的 flow_id;在执行目标流之前不执行所有权检查
受影响系统
Langflow < 1.9.2
缓解措施
升级到 Langflow 1.9.2。PR 修复:https://github.com/langflow-ai/langflow/pull/12832