Langflow CVE-2026-5027:未授权写文件升级为 RCE,已遭在野利用
Langflow 的 /api/v2/files 端点存在路径遍历,一个未授权请求即可向磁盘任意位置写入文件。VulnCheck 于 2026 年 6 月 9 日确认在野利用;约 7000 个实例暴露在公网。
这是什么?
CVE-2026-5027(CVSS 8.8)是 Langflow 中的一处路径遍历漏洞。Langflow 是用于构建 LLM 智能体、RAG 流水线和 AI 工作流的开源低代码平台。该漏洞允许攻击者通过文件上传端点向主机文件系统的任意位置写入文件。2026 年 6 月 9 日,VulnCheck 报告该漏洞正遭在野利用,The Hacker News 于 6 月 10 日对此次利用进行了报道。该报道引用的 Censys 数据显示,约有 7000 个 Langflow 实例暴露在公网,其中大多数位于北美。
该漏洞由 Tenable 发现,并在 2026 年 1 月和 2 月三次联系维护者未获回应后,于 2026 年 3 月 27 日发布公告 TRA-2026-26。漏洞已在 2026 年 4 月 15 日发布的 Langflow 1.9.0 中修复。我们以防御视角报道这一已公开披露并已修复的问题:当前的危险在于大量暴露在公网、尚未更新的部署,而非某种秘密技术。
工作原理
缺陷本身平常且易于理解:POST /api/v2/files 端点从 multipart 表单数据中获取 filename,却未对其进行净化。Tenable 的报告指出,攻击者可以在该字段中提供目录遍历序列(../),从而跳出预期的上传目录,将文件写入 Langflow 进程有权写入的任何位置。
请求路径: POST /api/v2/files
被污染字段:multipart "filename" -> 包含 "../" 序列
汇聚点: 使用攻击者控制的路径写入文件
结果: 在上传目录之外进行任意文件写入两项设计选择把任意文件写入升级为未授权远程代码执行:
- 默认自动登录。 正如 VulnCheck 的 Caitlin Condon 所指出,Langflow 默认启用未授权自动登录,因此单个未授权请求即可在利用开始前获得有效会话令牌。访问该端点无需任何凭据。
- 从写入到执行的转轴。 任意写入可通过常见途径转化为代码执行:覆写配置文件、植入开机或 cron 项,或替换应用随后导入或执行的文件。这与 AI 智能体框架中所见的「写入原语到 RCE」模式如出一辙。
根据公开报道,当前的利用仍较为粗糙:攻击者投放无害的测试文件以识别脆弱主机,这通常是武器化载荷的前奏。我们不发布可用的利用代码;上述机制已足以理解并修复这一暴露面。
为何重要
Langflow 处于 AI 构建流水线的核心,通常连接着 API 密钥、向量数据库、模型端点和内部服务。运行 Langflow 的主机很少是孤立的一台机器,而是通向周边环境的枢纽。在这样的主机上以未授权用户身份实现任意文件写入,已经接近最坏情况。
时间线进一步放大了风险。补丁在 4 月中旬发布,但利用却在 6 月针对大量未打补丁的服务器展开——这与我们在开源 AI 漏洞洪流以及百万个暴露的 AI 服务统计中指出的动态相同。CVE-2026-5027 也并非 Langflow 今年的首次「翻车」:它紧随 CVE-2026-33017、CVE-2026-0770、CVE-2026-21445 和 CVE-2025-34291 之后——其中最后一个已被与伊朗有关联的国家级组织 MuddyWater 武器化。一个持续受到攻击者关注的工具,理应被当作高价值目标对待,而非开发者的便利品。
防御
- 立即打补丁。 升级到 Langflow 1.9.0 或更高版本。这是唯一彻底的修复,其余皆为缓解措施。
- 关闭默认自动登录。 要求真实身份验证,禁用未授权自动登录。「一个请求换一个会话令牌」这一特性,正是使该漏洞可被大规模远程利用的关键。
- 将 Langflow 移出公网。 将其置于 VPN、带认证的反向代理或 IP 白名单之后。当前约有 7000 个实例可被访问,你的实例不应在其中。
- 约束进程权限。 在容器中以低权限用户运行 Langflow,尽可能只读;将其工作目录挂载为
noexec,并尽量减少任意写入可能覆写或执行的内容。 - 轮换暴露的密钥。 如果某实例在未打补丁期间曾暴露于公网,应将相连的 API 密钥、模型凭据和数据库密钥视为可能已泄露并予以轮换。
- 排查写入原语。 在日志中检索
filename含..的POST /api/v2/files请求,并检查配置、cron 或启动路径中是否有异常文件。投放测试文件是当前的入侵指标。
状态
| 项目 | 详情 |
|---|---|
| CVE | CVE-2026-5027(CVSS 8.8) |
| 类别 | 路径遍历 → 任意文件写入 → RCE |
| 端点 | POST /api/v2/files(filename 未净化) |
| 触达条件 | 未授权(默认自动登录) |
| 发现者 | Tenable —— 公告 TRA-2026-26 |
| 披露 | 2026 年 3 月 27 日(1–2 月三次联系后) |
| 修复 | Langflow 1.9.0,2026 年 4 月 15 日 |
| 在野利用 | VulnCheck 确认,2026 年 6 月 9 日 |
| 暴露面 | 约 7000 个公网实例(Censys),以北美为主 |
经久的教训并不光鲜:一个经典的 Web 漏洞——未净化的文件名、路径遍历——在 AI 编排平台中与在任何其他 Web 应用中同样具有破坏性,而仓库里的补丁对那些从不应用它的数千台服务器毫无帮助。请把 AI 构建基础设施当作生产基础设施对待:为其加上身份验证、隔离它、按计划打补丁,并假定攻击者此刻正在扫描它。
Sources
- → https://nvd.nist.gov/vuln/detail/CVE-2026-5027
- → https://www.tenable.com/security/research/tra-2026-26
- → https://thehackernews.com/2026/06/unpatched-langflow-flaw-cve-2026-5027.html
- → https://orca.security/resources/blog/cve-2026-5027-langflow-path-traversal-rce/
- → https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/