系统:运行中
← 返回所有攻击
INFRASTRUCTURE CRITICAL NEW

Langflow 跨租户流程劫持:被攻击者忽视的 9.9 分漏洞

Sysdig 捕获到 Langflow 一处漏洞的首次实际利用:认证用户可执行他人租户的流程并获取其密钥。它的评分高于旁边的 RCE,却几乎无人问津。

2026-07-03 // 5 min affects: langflow, ai-agent-builders, rag-pipelines, llm-orchestration

这是什么?

2026 年 6 月 26 日Sysdig 威胁研究团队发布了 Langflow 中一处跨租户漏洞的首次实际利用记录。Langflow 是用于构建 AI 智能体与 RAG 流水线的开源可视化框架。该漏洞是一处跨租户的不安全直接对象引用(IDOR):已认证用户可以执行其他用户的流程,并继承其中内嵌的密钥。其 CVSS 评分高达 9.9,高于与之一同被利用的未认证远程代码执行漏洞(评分 9.3)。

最耐人寻味的是攻击者没有做的事。Sysdig 观察到 2026 年 6 月 25 日,同一名操作者对同一台暴露实例发起了这两个漏洞的攻击。他把精力都投入到评分较低的 RCE 上,而把评分更高的跨租户漏洞当作两次请求的附带动作。本文是对某一类漏洞的深度剖析,也是一堂关于如何解读 CVSS 评分的课,而非可直接使用的攻击代码——两处漏洞均已修复。

工作原理

Langflow 通过一个兼容 OpenAI 的端点将每个流程暴露为可调用的「模型」。向 POST /api/v1/responses 发起的请求在 model 字段中以 UUID 指定流程。漏洞位于流程解析辅助函数中:当流程按 UUID 解析时,数据库查询在没有所有权校验的情况下执行,因此任何已认证的调用方都能执行任意用户的流程。而按端点名称解析流程的并行路径确实校验了所有权——只有 UUID 分支被暴露。

步骤        操作者的动作
----------  ---------------------------------------------------
枚举        GET /api/v1/flows/  —— 一个会泄露其他用户
            流程 UUID 的列表端点。
劫持        POST /api/v1/responses,model:<受害者流程>,
            并在 input 中注入提示,例如「[REDACTED:
            套取凭据的指令]」。
收割        受害者流程带着内嵌密钥执行;注入的提示
            使这些密钥浮现在输出中。

流程 UUID 是随机的、122 位宽——无法被暴力破解。这正是该漏洞的全部要害:它单独存在时是惰性的。它之所以可被利用,仅仅是因为列表端点恰好派发了攻击所需的标识符。修复已在 Langflow 1.9.1 中交付,为 UUID 路径补上了缺失的所有权校验。

为何重要

在单台自托管主机上,这处跨租户漏洞做不到旁边 RCE 做不到的事——一旦获得未认证的代码执行,进程、数据库、文件系统和环境便尽在掌握。这种不对称正是为何该 RCE 在 3 月披露后20 小时内即遭大规模利用、波及约 7000 台暴露服务器、并进入 CISA 已知被利用漏洞(KEV)目录;而评分更高的跨租户漏洞此前却零利用报告。攻击者追求单位投入的产出,一个未认证、可对整个互联网喷射的 RCE 每次都胜出。

例外是多租户或托管型 Langflow。在那里,RCE 运行于每租户的沙箱中——触及其他客户需要沙箱逃逸。而跨租户漏洞是在应用层跨越这道边界,走的是平台自身受信的执行路径,带着受害者的凭据执行受害者的流程。没有主机沦陷,没有逃逸,看上去只是一次合法的 API 调用,唯一的异常是「错误的」流程 ID。因此,恰恰在 RCE 被封堵的环境里,它既更具破坏力又更隐蔽。而 Langflow 的流程值得被盯上:它们常常把 LLM 提供商密钥、云凭据和数据库密钥直接内嵌在组件配置里。

防御

这里没有任何需要全新手段的地方——需要的是打补丁,并把授权当作数据层的属性,而非网络层的属性。

  1. 升级到 Langflow 1.9.1 或更高版本,其中已加入所有权校验。同时修补未认证 RCE——那才是正在被大规模喷射的漏洞。
  2. 把泄露对象 ID 的端点视为攻击面的一部分。 跨租户漏洞在没有泄露的流程 UUID 时是惰性的;正是那个过度暴露的列表端点将其武器化。把列表响应限定为调用方自身的对象。
  3. 不要将 Langflow 暴露到互联网,并禁用任何免认证或自动登录的默认设置。将其置于已认证的网络控制之后。
  4. 多租户运营方:在数据层实施授权,而非仅靠沙箱隔离。 请以 9.9 评分所要求的紧迫性对待应用层的所有权修复——沙箱阻止不了应用层的租户越界。
  5. 停止在流程配置中内嵌长期有效的密钥。 改用来自密钥管理器的短期、受限范围凭据,并轮换任何曾驻留在暴露实例上的密钥。
  6. 增加运行时检测:监测「流程枚举后紧接跨所有者执行」的行为,以及意图套取凭据的提示输入。

Status

项目参考日期说明
跨租户流程劫持CVE-2026-552552026CVSS 9.9 IDOR;已在 Langflow 1.9.1 修复
首次实际利用Sysdig TRT2026-06-25枚举 → 劫持,2 次请求;此前无利用
相邻未认证 RCECVE-2026-330172026-03CVSS 9.3;CISA KEV 2026-03-25;约 7000 台服务器受影响
公开研究Sysdig TRT2026-06-26对两处漏洞投入精力的对比分析

要点不在于高 CVSS 评分错了——而在于评分衡量的是最坏情况下的影响,而非可利用性。一个需要认证、需要泄露的对象 ID、且目标须为多租户的 9.9,在实践中会输给一个只需网络访问、任何人都能触及的 9.3。两者都要修补,但要按评分的本意去解读它。

Sources