关键Langflow漏洞CVE-2026-33017在披露20小时内引发攻击

一个影响Langflow的关键安全漏洞在公开披露后20小时内就遭到主动利用，突显了威胁行为者将新发布漏洞武器化的速度。

该安全缺陷被追踪为CVE-2026-33017（CVSS评分：9.3），是一个缺失身份验证结合代码注入的案例，可能导致远程代码执行。

根据Langflow对该漏洞的公告："POST /api/v1/build_public_tmp/{flow_id}/flow端点允许在不需要身份验证的情况下构建公共流程。"

"当提供可选的data参数时，端点使用攻击者控制的流程数据（在节点定义中包含任意Python代码），而不是来自数据库的存储流程数据。这些代码在没有任何沙箱保护的情况下传递给exec()，导致未经身份验证的远程代码执行。"

该漏洞影响开源人工智能平台1.8.1及之前的所有版本。目前已在开发版本1.9.0.dev8中得到修复。

安全研究员Aviral Srivastava于2026年2月26日发现并报告了这个漏洞，他表示该漏洞不同于CVE-2025-3248（CVSS评分：9.8），后者是Langflow中另一个关键漏洞，滥用/api/v1/validate/code端点在不需要任何身份验证的情况下执行任意Python代码。根据美国网络安全与基础设施安全局(CISA)的信息，该漏洞此后已被积极利用。

"CVE-2026-33017位于/api/v1/build_public_tmp/{flow_id}/flow中，"Srivastava解释说，根本原因源于在链条末端使用了与CVE-2025-3248相同的exec()调用。

"这个端点被设计为不需要身份验证，因为它服务于公共流程。你不能仅仅添加身份验证要求而不破坏整个公共流程功能。真正的修复方法是完全从公共端点移除data参数，这样公共流程只能执行它们存储的（服务器端）流程数据，永远不接受攻击者提供的定义。"

成功利用该漏洞可能允许攻击者发送单个HTTP请求并获得任意代码执行权限，具备服务器进程的完整权限。有了这种权限，威胁行为者可以读取环境变量、访问或修改文件以注入后门或删除敏感数据，甚至获得反向shell。

Srivastava告诉The Hacker News，利用CVE-2026-33017"极其容易"，可以通过武器化的curl命令触发。只需要一个包含恶意Python代码的JSON有效载荷的HTTP POST请求就足以实现立即的远程代码执行。

云安全公司Sysdig表示，在2026年3月17日公告发布后的20小时内，它观察到了第一批针对CVE-2026-33017的野外利用尝试。

"当时不存在公开的概念验证(PoC)代码，"Sysdig说。"攻击者直接从公告描述中构建了有效的利用程序，并开始扫描互联网寻找易受攻击的实例。泄露的信息包括密钥和凭据，这些提供了对连接数据库的访问和潜在的软件供应链妥协。"

还观察到威胁行为者从自动扫描转向利用自定义Python脚本，以从"/etc/passwd"中提取数据并投递托管在"173.212.205[.]251:8443"上的未指定下一阶段有效载荷。来自同一IP地址的后续活动表明了一个彻底的凭据收集操作，涉及收集环境变量、枚举配置文件和数据库，以及提取.env文件的内容。

这表明威胁行为者进行了规划，通过分阶段部署恶意软件，一旦识别出易受攻击的目标就进行投递。"这是一个准备好利用工具包的攻击者，在单个会话中从漏洞验证转向有效载荷部署，"Sysdig指出。目前尚不清楚攻击背后的具体组织。

从公告发布到首次利用的20小时窗口与加速趋势一致，中位时间到利用(TTE)从2018年的771天缩短到2024年的仅几个小时。

根据Rapid7的2026年全球威胁环境报告，漏洞发布到被纳入CISA已知被利用漏洞(KEV)目录的中位时间在过去一年中从8.5天下降到5天。

"这种时间压缩给防御者带来了严重挑战。组织部署补丁的中位时间约为20天，这意味着防御者暴露和易受攻击的时间太长，"报告补充说。"威胁行为者正在监控防御者使用的相同公告源，他们构建利用程序的速度比大多数组织评估、测试和部署补丁的速度更快。组织必须完全重新考虑其漏洞程序以满足现实需要。"

建议用户尽快更新到最新的修补版本，审计任何公开暴露的Langflow实例上的环境变量和机密，作为预防措施轮换密钥和数据库密码，监控向异常回调服务的出站连接，以及使用防火墙规则或带身份验证的反向代理限制对Langflow实例的网络访问。

针对CVE-2025-3248和CVE-2026-33017的探索活动突显了AI工作负载如何落入攻击者的准星中，原因是它们访问有价值的数据、在软件供应链中的集成以及安全保护措施不足。

"CVE-2026-33017展示了一个正在成为常态而非例外的模式：流行开源工具中的关键漏洞在披露后几小时内就被武器化，通常甚至在公开PoC代码可用之前，"Sysdig总结道。

Q&A

Q1：CVE-2026-33017漏洞有多严重？会造成什么影响？

A：CVE-2026-33017是一个关键安全漏洞，CVSS评分达到9.3分。该漏洞结合了缺失身份验证和代码注入问题，可能导致远程代码执行。成功利用后，攻击者可以获得服务器进程的完整权限，读取环境变量、修改文件、注入后门、删除敏感数据，甚至获得反向shell。

Q2：为什么Langflow漏洞这么快就被攻击者利用了？

A：CVE-2026-33017在公开披露后仅20小时内就遭到主动利用，这反映了当前威胁环境的新趋势。攻击者直接从公告描述中构建利用程序，无需等待公开的概念验证代码。而组织部署补丁的中位时间约为20天，这意味着防御者面临很长的暴露期。

Q3：如何防护Langflow的这个安全漏洞？

A：用户应该立即更新到最新的修补版本1.9.0.dev8，审计任何公开暴露的Langflow实例上的环境变量和机密，作为预防措施轮换密钥和数据库密码，监控向异常回调服务的出站连接，并使用防火墙规则或带身份验证的反向代理限制对Langflow实例的网络访问。