夜雨聆风
CVSS 9.3 高危|披露 20 小时即被黑产利用|RCE + 任意写文件双杀
🚨 漏洞王炸:一句话看懂有多恐怖
CVE-2026-33017(未授权 RCE)+ CVE-2026-33309(任意文件写入)
攻击门槛:0
→ 陌生人直接打,零账号、零认证、零权限
攻击速度:离谱
→ 披露20 小时即被武器化,黑产全网狂扫
危害拉满:双杀
→代码执行 + 文件写入,服务器直接 "裸奔"
影响范围:超大
→Langflow ≤ 1.8.1 全版本中枪
黄金靶场:存OpenAI/AWS 密钥、数据库密码、RAG 数据—— 一偷全没
🧠 漏洞原理(人话版・超好懂)
🔴 CVE-2026-33017:未授权远程代码执行(主漏洞)
设计缺陷:接口给 "公共流程" 用,天生不用登录
致命信任:允许攻击者传data参数,直接覆盖数据库流程
代码裸奔:恶意 Python 代码被丢进exec(),无沙箱、无过滤、直接执行
权限爆炸:代码跟 Langflow 进程同权限 ——系统命令随便跑、文件随便读
🔵 CVE-2026-33309:任意文件写入(助攻漏洞)
位置:/api/v2/files/文件上传接口
缺陷:路径遍历没过滤,用../就能写文件到系统任意目录
效果:写定时任务、SSH 公钥、木马文件→永久控制服务器
🌍 你中枪了吗?3 秒自查
CVE-2026-33017:Langflow ≤ 1.8.1
CVE-2026-33309:Langflow ≤ 1.8.1
安全版本:≥ 1.9.0(官方已修复)
Langflow暴露公网、开着默认端口(7860)
用了公共流程(Public Flow)、有公开 Webhook
版本停在1.8.1 及以下、很久没更
服务器存AI 密钥、数据库密码、业务数据
✅ 紧急保命!3 步修复指南(手慢无)
1. 终极方案(立刻做!)
给build_public_tmp接口强制加登录认证,堵未授权访问
删掉data参数覆盖功能,只认数据库合法数据
修复文件上传路径遍历,禁止越权写文件
加代码沙箱与安全过滤,阻断恶意代码执行
Docker 一键升级命令:
docker pull langflowai/langflow:1.9.0docker stop langflow && docker rm langflowdocker run -d --name langflow -p 7860:7860 langflowai/langflow:1.9.0
2. 不能马上升级?临时止血(撑到升级)
紧急关公网访问:防火墙只放办公 IP、禁陌生 IP 连 7860 端口
禁用公共流程:删除所有Public权限的 Flow、关闭临时构建接口
禁 v2 文件上传:临时停用/api/v2/files/上传功能
密钥大轮换:立即重置 OpenAI、AWS、数据库等所有敏感密钥
3. 自查 + 巡检(别漏!)
查版本:看 Langflow 启动页或pip show langflow
查接口:搜/build_public_tmp/、/api/v2/files/访问日志
查工作流:删陌生 / 可疑公共流程、检查 Python 代码节点
查系统:看/tmp、/root/.ssh/、定时任务有无异常文件
💣 为啥 AI 低代码总出这种 "送命" 漏洞?
功能太激进:允许用户直接写 Python、传任意代码、上传任意文件
安全太敷衍:无认证、无沙箱、无过滤、无权限隔离,裸奔开发
权限太夸张:AI 平台常绑云密钥、数据库、文件系统,一破全炸
迭代太快:追功能不追安全,补丁赶不上漏洞
⚠️ 最后生死提醒
