文章总结： 本文分析Langflow平台CVE-2025-3248高危RCE漏洞，影响1.0.0至1.2.9版本。漏洞源于代码验证功能，允许无认证攻击者执行任意代码并接管系统。内容涵盖漏洞原理、命令执行及FastApi内存马注入技术，建议受影响用户及时修补。 综合评分： 88 文章分类： 漏洞分析,WEB安全,代码审计,实战经验

【漏洞分析】CVE-2025-3248 Langflow RCE

原创

whoami0002

SecurityPaper

2025年12月30日 10:17 江苏

前言

本文从代码层面分析了漏洞原理到命令执行，以及基于代码执行注入FastApi持久化内存马

漏洞描述

CVE-2025-3248是Langflow平台中一个严重程度为高危的远程代码执行（RCE）漏洞。Langflow作为一个开源的AI工作流构建平台，允许用户通过可视化界面创建和管理AI驱动的自动化流程。该漏洞存在于代码验证功能中，攻击者无需任何身份验证即可通过精心构造的恶意请求在服务器上执行任意代码，完全控制系统。

漏洞影响

· Langflow 1.0.0至1.2.9的所有版本

环境搭建

本文使用langflow 1.1.4版本进行测试

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecurityPaper whoami0002《【漏洞分析】CVE-2025-3248 Langflow RCE》