文章总结： Langflow开源AI编排平台曝出CVSS9.8分未授权远程代码执行漏洞CVE-2026-33017，披露仅20小时即遭野外武器化。漏洞源于构建公共流程API端点直接对用户可控数据调用exec函数且无沙箱隔离，导致攻击者无需认证即可执行任意Python代码，从而窃取密钥、植入后门或横向移动。建议企业立即升级至1.9.0及以上版本，使用防火墙限制默认7860端口仅内网访问，禁用自动登录，轮换已泄露的API凭证，并排查日志中build_public_tmp相关异常请求。 综合评分： 91 文章分类： 漏洞分析,AI安全,漏洞预警,应急响应,WEB安全

20小时即被武器化！Langflow致命漏洞CVE-2026-33017

HackerChat HackerChat

黑客茶话会

2026年3月27日 17:48 山东

20小时即被武器化！Langflow致命漏洞CVE-2026-33017

CVSS 9.8严重漏洞 | 全球6416个风险IP | 国内1230个风险资产 | 立刻修复！

一、漏洞概述

就在上周，一个足以让整个AI安全圈震动的漏洞被披露——Langflow，这款基于LangChain的开源低代码AI应用编排平台，被曝出高危远程代码执行漏洞CVE-2026-33017。

更可怕的是，从漏洞公开披露到野外利用，仅仅用了20小时。威胁行为者正在以惊人的速度将这个漏洞武器化，对全球运行Langflow的组织构成严重威胁。

9.8 CVSS评分(严重)

20小时 漏洞武器化时间

6416+ 全球风险IP数

1230 国内风险资产

二、CVE-2026-33017：集三大致命特征于一身

这个漏洞被安全研究人员称为”最危险的漏洞类型之一”，因为它同时具备以下三个致命特征：

1. 无需认证

攻击者不需要登录、不需要密码、不需要任何权限。只要能通过网络访问到Langflow实例，就可以发起攻击。这意味着任何暴露在公网的Langflow服务器，都可能成为攻击目标。

2. 远程利用

只要你的Langflow实例能通过网络访问，攻击者就可以在世界任何角落发起攻击。他们通常通过端口扫描或Shodan等搜索引擎发现目标。

3. 代码执行

漏洞允许攻击者在服务器上执行任意Python代码，从而完全控制服务器。攻击者可以窃取数据、植入后门、部署挖矿程序，甚至以服务器为跳板攻击内网其他系统。

三、漏洞技术细节

漏洞位置

端点POST /api/v1/build_public_tmp/{flow_id}/flow

漏洞原理

该端点允许未授权用户构建公共流程。当请求包含可选的data参数时，系统直接使用攻击者提交的流程数据（而非从数据库加载）。恶意数据中的Python代码通过exec()函数直接执行，无任何沙箱隔离。

简化漏洞代码

def build_public_tmp(flow_id, data=None):
    if data:
        flow_data = data  # 直接使用攻击者可控的数据
    else:
        flow_data = db.get_flow(flow_id)
    for node in flow_data['nodes']:
        if 'code' in node['parameters']:
            exec(node['parameters']['code'])  # 无过滤执行!

受影响版本

• Langflow < 1.8.0：严重受影响
• Langflow 1.8.0 – 1.8.1：受影响
• Langflow >= 1.9.0：已修复（需升级至开发版1.9.0.dev8及以上）

四、攻击链路四步走

第一步：发现目标

攻击者通过端口扫描（默认7860端口）或Shodan、Censys等搜索引擎发现暴露的Langflow实例。

第二步：获取Flow ID

攻击者从分享链接获取公开流程的UUID，或通过暴力枚举方式获取有效ID。

第三步：构造恶意请求

攻击者构造恶意HTTP POST请求，在流程数据节点的parameters字段中嵌入Python恶意代码。

第四步：RCE执行

服务器在处理请求时，未经验证即通过exec()函数执行嵌入的代码，导致任意命令执行。

五、漏洞武器化：攻击者正在行动

根据威胁情报显示，CVE-2026-33017在披露后20小时内即被观测到野外利用。360漏洞研究团队复现了该漏洞并确认其可利用性。

常见攻击载荷

• 窃取环境变量中的API密钥（OpenAI、AWS、Google等）
• 遍历文件系统，窃取敏感配置文件和数据库凭证
• 建立反向Shell，完全控制服务器
• 部署持久化后门（如写入定时任务crontab）
• 横向移动到内网其他系统

其他相关漏洞

除CVE-2026-33017外，Langflow近期还披露了多个高危漏洞：

• CVE-2026-0768代码参数远程代码执行（CVSS 9.8）
• CVE-2026-0769eval_custom_component_code远程代码执行（CVSS 9.8）
• CVE-2026-0770exec_globals远程代码执行（CVSS 9.8）
• CVE-2026-0772磁盘缓存反序列化远程代码执行（CVSS 7.5）
• CVE-2026-33309任意文件写入（经认证）

六、紧急处置与修复指南

立即行动（24小时内）

1. 升级Langflow版本

立即升级至最新版本：

pip install --upgrade "langflow>=1.9.0"

验证版本：

python -c "import langflow; print(langflow.__version__)"

2. 网络隔离

使用防火墙限制Langflow端口（默认7860）仅允许内网访问：

# Linux iptables示例
iptables -A INPUT -p tcp --dport 7860 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 7860 -s 172.16.0.0/12 -j ACCEPT
iptables -A INPUT -p tcp --dport 7860 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 7860 -j DROP

3. 禁用自动登录

设置环境变量AUTO_LOGIN=false或在.env文件中配置：

AUTO_LOGIN=false

短期行动（1周内）

• 轮换所有可能泄露的API密钥和凭证
• 部署反向代理认证（如Nginx + OAuth）
• 检查访问日志，搜索可疑的build_public_tmp请求

检测与监控

检查日志中是否有以下特征：

grep "build_public_tmp" access.log

监控服务器是否存在异常进程或网络连接（如反向Shell）。

七、AI工具安全警示

Langflow漏洞再次敲响了AI工具安全的警钟。随着AI应用编排平台在企业中的广泛部署，其安全性变得至关重要。

这个漏洞教会我们几个重要教训：

• 默认配置往往不安全——开源工具的默认配置通常不考虑安全隔离
• exec()是危险的——任何允许用户输入执行代码的功能都是高危风险点
• 漏洞利用正在加速——从披露到武器化的时间窗口越来越短
• 网络暴露面必须最小化——永远不要将AI工具直接暴露在公网

给你的建议：立即检查你是否在运行Langflow，如果是，立刻升级或网络隔离。同时，将AI工具纳入企业漏洞管理计划，建立定期安全评估机制。

数据来源：FreeBuf、ZONE.CI、奇安信CERT、360漏洞研究团队

免责声明：本文仅供安全研究及企业安全建设参考，请勿进行未授权的安全测试。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客茶话会 HackerChat HackerChat《20小时即被武器化！Langflow致命漏洞CVE-2026-33017》