文章总结: IBM安全研究人员在LangflowOSS中发现六个严重漏洞,包括CVE-2026-10134等,允许未经身份验证的远程代码执行、授权绕过和数据窃取。攻击者可通过Python代码注入、不安全反序列化等方式完全控制系统。受影响版本为1.0.0至1.10.0,建议立即升级至1.10.1版本以修复漏洞,并重启进程清除不当缓存的API密钥。 综合评分: 89 文章分类: 漏洞分析,安全工具,AI安全,云安全,应急响应
在Langflow开源软件中发现的严重安全漏洞
sec随谈 sec随谈
sec随谈
2026年7月6日 08:58 北京
在小说阅读器读本章
去阅读
IBM安全研究人员发现了六个严重的Langflow OSS漏洞。这些漏洞允许攻击者执行任意代码、绕过授权,并窃取敏感数据。管理员必须立即更新系统,以防止服务器遭到入侵。
为何这很重要
Langflow OSS漏洞对构建AI应用的开发者构成了巨大威胁。攻击者可以迅速获得对系统的完全控制。他们可以读取敏感文件、修改数据库,并连接到内部服务。此外,在多租户环境中,计费欺诈也是一个严重风险。一次入侵就可能导致所有租户的机密信息和基础设施数据泄露。企业可能面临严重的财务损失和声誉损害。
攻击原理
这六个漏洞涉及多种不同的攻击机制。首先,CVE-2026-10134允许未经身份验证的远程代码执行。攻击者通过公开流程中的PythonCodeStructured Tool注入恶意Python代码。服务器随后在构建过程中使用exec()函数执行该代码。
其次,CVE-2026-7803可绕过流程验证。攻击者提交组件类型字段为空的节点。这一手法会导致验证程序跳过对已禁用自定义组件的拦截。因此,恶意代码会在构建时悄无声息地运行。
此外,CVE-2026-7871涉及缓存后端中的不安全反序列化问题。Redis缓存服务在未验证完整性的情况下使用dill.loads()。因此,攻击者可以向Redis注入恶意载荷。这些载荷会在任何工作进程读取缓存时被执行。
其他攻击机制
另外,CVE-2026-7873允许在代码验证端点中进行代码注入。攻击者利用了Python默认参数求值的机制。该机制会在未实际调用函数的情况下执行任意操作系统命令。
最后,CVE-2026-10140和CVE-2026-7663会导致严重的授权问题。语音模式子系统在一个进程全局单例中不当地缓存了API密钥。这一错误使得跨租户的API密钥复用和计费欺诈成为可能。同时,Streamable MCP传输端点未能强制执行项目所有权控制。攻击者因此可以在未经身份验证的情况下访问受保护的资源。
利用现状
目前,主要信息源尚未确认存在野外主动利用的情况。不过,研究人员已针对MCP授权绕过验证了四种概念验证(PoC)场景。广受欢迎的Langflow软件包的用户必须保持警惕。安装数量尚未获得官方确认,但该软件包的广泛使用意味着攻击面很大。
受影响版本
这些漏洞影响该软件的多个版本。大多数漏洞影响Langflow OSS 1.0.0至1.10.0版本。具体而言,CVE-2026-10134影响1.0.0至1.9.3版本,CVE-2026-7663影响1.0.0至1.9.6版本。
修复或缓解措施
IBM强烈建议立即升级Langflow OSS。您应安装1.10.1版本以修复大部分漏洞。1.10.0版本修补了MCP授权绕过漏洞和未经身份验证的远程代码执行(RCE)漏洞。管理员在更新后应核实相关配置。此外,还需要重启进程以清除不当缓存的API密钥。
参考链接:
https://pypi.org/project/langflow/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:sec随谈 sec随谈 sec随谈《在Langflow开源软件中发现的严重安全漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。




![[安全周报]你clone的那个PoC,运行即中招——ChocoPoC把安全研究员本人变成了猎物](/images/random/titlepic/5.jpg)





评论