Langflow 跨租户流程劫持:被攻击者忽视的 9.9 分漏洞
Sysdig 捕获到 Langflow 一处漏洞的首次实际利用:认证用户可执行他人租户的流程并获取其密钥。它的评分高于旁边的 RCE,却几乎无人问津。
这是什么?
2026 年 6 月 26 日,Sysdig 威胁研究团队发布了 Langflow 中一处跨租户漏洞的首次实际利用记录。Langflow 是用于构建 AI 智能体与 RAG 流水线的开源可视化框架。该漏洞是一处跨租户的不安全直接对象引用(IDOR):已认证用户可以执行其他用户的流程,并继承其中内嵌的密钥。其 CVSS 评分高达 9.9,高于与之一同被利用的未认证远程代码执行漏洞(评分 9.3)。
最耐人寻味的是攻击者没有做的事。Sysdig 观察到 2026 年 6 月 25 日,同一名操作者对同一台暴露实例发起了这两个漏洞的攻击。他把精力都投入到评分较低的 RCE 上,而把评分更高的跨租户漏洞当作两次请求的附带动作。本文是对某一类漏洞的深度剖析,也是一堂关于如何解读 CVSS 评分的课,而非可直接使用的攻击代码——两处漏洞均已修复。
工作原理
Langflow 通过一个兼容 OpenAI 的端点将每个流程暴露为可调用的「模型」。向 POST /api/v1/responses 发起的请求在 model 字段中以 UUID 指定流程。漏洞位于流程解析辅助函数中:当流程按 UUID 解析时,数据库查询在没有所有权校验的情况下执行,因此任何已认证的调用方都能执行任意用户的流程。而按端点名称解析流程的并行路径确实校验了所有权——只有 UUID 分支被暴露。
步骤 操作者的动作
---------- ---------------------------------------------------
枚举 GET /api/v1/flows/ —— 一个会泄露其他用户
流程 UUID 的列表端点。
劫持 POST /api/v1/responses,model:<受害者流程>,
并在 input 中注入提示,例如「[REDACTED:
套取凭据的指令]」。
收割 受害者流程带着内嵌密钥执行;注入的提示
使这些密钥浮现在输出中。
流程 UUID 是随机的、122 位宽——无法被暴力破解。这正是该漏洞的全部要害:它单独存在时是惰性的。它之所以可被利用,仅仅是因为列表端点恰好派发了攻击所需的标识符。修复已在 Langflow 1.9.1 中交付,为 UUID 路径补上了缺失的所有权校验。
为何重要
在单台自托管主机上,这处跨租户漏洞做不到旁边 RCE 做不到的事——一旦获得未认证的代码执行,进程、数据库、文件系统和环境便尽在掌握。这种不对称正是为何该 RCE 在 3 月披露后20 小时内即遭大规模利用、波及约 7000 台暴露服务器、并进入 CISA 已知被利用漏洞(KEV)目录;而评分更高的跨租户漏洞此前却零利用报告。攻击者追求单位投入的产出,一个未认证、可对整个互联网喷射的 RCE 每次都胜出。
例外是多租户或托管型 Langflow。在那里,RCE 运行于每租户的沙箱中——触及其他客户需要沙箱逃逸。而跨租户漏洞是在应用层跨越这道边界,走的是平台自身受信的执行路径,带着受害者的凭据执行受害者的流程。没有主机沦陷,没有逃逸,看上去只是一次合法的 API 调用,唯一的异常是「错误的」流程 ID。因此,恰恰在 RCE 被封堵的环境里,它既更具破坏力又更隐蔽。而 Langflow 的流程值得被盯上:它们常常把 LLM 提供商密钥、云凭据和数据库密钥直接内嵌在组件配置里。
防御
这里没有任何需要全新手段的地方——需要的是打补丁,并把授权当作数据层的属性,而非网络层的属性。
- 升级到 Langflow 1.9.1 或更高版本,其中已加入所有权校验。同时修补未认证 RCE——那才是正在被大规模喷射的漏洞。
- 把泄露对象 ID 的端点视为攻击面的一部分。 跨租户漏洞在没有泄露的流程 UUID 时是惰性的;正是那个过度暴露的列表端点将其武器化。把列表响应限定为调用方自身的对象。
- 不要将 Langflow 暴露到互联网,并禁用任何免认证或自动登录的默认设置。将其置于已认证的网络控制之后。
- 多租户运营方:在数据层实施授权,而非仅靠沙箱隔离。 请以 9.9 评分所要求的紧迫性对待应用层的所有权修复——沙箱阻止不了应用层的租户越界。
- 停止在流程配置中内嵌长期有效的密钥。 改用来自密钥管理器的短期、受限范围凭据,并轮换任何曾驻留在暴露实例上的密钥。
- 增加运行时检测:监测「流程枚举后紧接跨所有者执行」的行为,以及意图套取凭据的提示输入。
Status
| 项目 | 参考 | 日期 | 说明 |
|---|---|---|---|
| 跨租户流程劫持 | CVE-2026-55255 | 2026 | CVSS 9.9 IDOR;已在 Langflow 1.9.1 修复 |
| 首次实际利用 | Sysdig TRT | 2026-06-25 | 枚举 → 劫持,2 次请求;此前无利用 |
| 相邻未认证 RCE | CVE-2026-33017 | 2026-03 | CVSS 9.3;CISA KEV 2026-03-25;约 7000 台服务器受影响 |
| 公开研究 | Sysdig TRT | 2026-06-26 | 对两处漏洞投入精力的对比分析 |
要点不在于高 CVSS 评分错了——而在于评分衡量的是最坏情况下的影响,而非可利用性。一个需要认证、需要泄露的对象 ID、且目标须为多租户的 9.9,在实践中会输给一个只需网络访问、任何人都能触及的 9.3。两者都要修补,但要按评分的本意去解读它。
Sources
- → https://www.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities-arent-always-the-most-exploited
- → https://www.sysdig.com/blog/cve-2026-33017-how-attackers-compromised-langflow-ai-pipelines-in-20-hours
- → https://nvd.nist.gov/vuln/detail/CVE-2026-55255
- → https://nvd.nist.gov/vuln/detail/CVE-2026-33017