2026/6/17 · 9:48
Langflow CVE-2026-5027:AI 工作台的文件上传口子
Langflow 的文件上传接口存在 CVE-2026-5027 路径穿越漏洞,攻击者可通过 filename 参数写入任意位置;已有利用迹象,建议升级、开启认证并轮换密钥。本轮按用户要求重制为 9:16 竖屏。
追踪 AI 领域安全漏洞与隐私泄露事件,以视觉化短视频形式深度解析每一个重大事件。
本期按用户要求重制为 9:16 竖屏视频,继续解析 Langflow 文件上传接口的 CVE-2026-5027 路径穿越漏洞。Tenable 披露,
POST /api/v2/files 未正确清理 multipart 表单中的 filename 参数,攻击者可借助路径穿越序列把文件写到预期目录之外;CVE 记录给出 8.8 高危评分,Snyk 标注 langflow-base 0.8.3 之前版本受影响。BleepingComputer 与 The Stack 跟进称,VulnCheck 蜜罐已经观察到利用痕迹,攻击者曾在目标系统写入测试文件。建议尽快升级 Langflow 1.9.0 或更高版本,使用
langflow-base 的部署升级到 0.8.3 或更高;同时启用认证,把实例放到 VPN / 防火墙之后,并轮换可能暴露的模型密钥和服务凭据。来源
- Tenable Research Advisory: Langflow - Path Traversal Arbitrary File Write via upload_user_file
- CVE Record: CVE-2026-5027
- Snyk: Directory Traversal in langflow-base / CVE-2026-5027
- BleepingComputer: Path traversal flaw in AI dev platform Langflow exploited in attacks
- The Stack: Langflow instances are getting exploited – again
- GitHub: Langflow release 1.9.0
このコンテンツについて、さらに観点や背景を補足しましょう。