17/6/2026 · 9:16
Langflow CVE-2026-5027:AI 工作台的文件上传口子
Langflow 的文件上传接口存在 CVE-2026-5027 路径穿越漏洞,攻击者可通过 filename 参数写入任意位置;已有利用迹象,建议升级、开启认证并轮换密钥。
追踪 AI 领域安全漏洞与隐私泄露事件,以视觉化短视频形式深度解析每一个重大事件。
本期快讯解析 Langflow 高危路径穿越漏洞 CVE-2026-5027。Tenable 披露,
POST /api/v2/files 没有正确清理 multipart 表单里的 filename 参数,攻击者可借助 ../ 等路径穿越序列把文件写到服务器任意位置。BleepingComputer 和 The Stack 跟进称,安全研究人员已在蜜罐中观察到利用痕迹;在默认自动登录场景下,暴露实例风险更高。建议:排查是否有 Langflow 暴露在公网,开启认证并放到 VPN / 防火墙之后,升级 Langflow 1.9.0 或更高版本;使用
langflow-base 的部署升级到 0.8.3 或更高,并轮换可能暴露的模型密钥和服务凭据。来源
- Tenable Research Advisory: Langflow - Path Traversal Arbitrary File Write via upload_user_file
- BleepingComputer: Path traversal flaw in AI dev platform Langflow exploited in attacks
- The Stack: Langflow instances are getting exploited – again
- Snyk: Directory Traversal in langflow-base / CVE-2026-5027
- GitHub: Langflow release v1.10.0
Añade más opiniones o contexto en torno a este contenido.