CVE-2026-33017Langflow是一个用于构建和部署AI智能体和工作流的工具。在1.9.0版本之前,其`/api/v1/build_public_tmp/{flow_id}/flow`接口存在严重安全漏洞。攻击者无需认证,即可通过构造恶意请求,利用该接口的`data`参数传入包含恶意Python代码的流数据。系统在处理这些数据时,直接调用`exec()`函数执行代码,导致未经身份验证的远程代码执行。
该漏洞源于Langflow在处理公共流构建请求时的逻辑缺陷。受影响端点`POST /api/v1/build_public_tmp/{flow_id}/flow`设计初衷虽为无需认证访问公共流,但其错误地接受并优先使用了请求体中`data`参数提供的流数据,而非数据库中存储的受信任数据。攻击者可精心构造包含恶意Python代码的节点定义,并将其放入`data`参数发送至服务器。服务器端在处理请求时,未对数据进行沙箱隔离或安全过滤,直接将攻击者提供的代码传递给Python的`exec()`函数执行。由于无需任何用户交互和身份认证,攻击者可借此在服务器上执行任意系统命令,完全控制主机。此问题与CVE-2025-3248不同,后者仅通过添加认证修复了`/api/v1/validate/code`端点,而本漏洞是针对构建端点的特定绕过。