事件经过
在 Langflow 1.9.2 之前,所有基于 BaseFileComponent 的组件(用于 RAG/知识库流)都接受未经消毒的绝对文件路径。攻击者控制的摄取到 RAG 管道的文件可以供应绝对路径到服务器文件系统上的任何文件,导致节点读取并公开它。CVSS 9.6 严重,发布于 2026-06-23。
影响分析
这将 Langflow 自己的 RAG 管道武器化以对抗自己 — 攻击者控制摄取的文件(例如通过共享或公共流,或通过 CVE-2026-55255 的 IDOR)可以窃取任意服务器文件,包括 /etc/shadow、SSH 密钥、带有 LLM API 密钥的 .env 文件以及模型凭证,通过 AI 管道的正常输出通道。
攻击途径
向任何 BaseFileComponent 派生的 RAG 节点在 Langflow 流中提供绝对文件系统路径(例如 /etc/passwd)作为文件输入;节点读取并处理该文件,通过流输出泄露内容
受影响系统
Langflow < 1.9.2
缓解措施
升级到 Langflow 1.9.2。PR 修复:https://github.com/langflow-ai/langflow/pull/12945