文章总结: CISA于2026年7月7日将Langflow授权绕过漏洞CVE-2026-55255加入KEV目录,要求联邦机构在7月10日前修复。该漏洞影响1.9.1之前版本,允许已认证攻击者越权执行其他用户的流程。AI工作流平台因常保存API密钥和云凭据成为攻击目标,企业需立即升级、限制访问边界并轮换高风险密钥,将其纳入生产资产管理。 综合评分: 90 文章分类: 漏洞分析,应急响应,威胁情报,解决方案
Langflow 漏洞进入 CISA KEV:AI 工作流平台,已经不是“实验环境”
原创
tcode tcode
字节脉搏实验室
2026年7月9日 10:11 北京
在小说阅读器读本章
去阅读
很多企业的 AI 工作流平台,是从一个“试试看”的内部项目开始的。
先连一个模型,再接一个知识库,然后接入工单、云服务、数据库和内部 API。问题是,一旦它开始保存密钥、处理业务数据、调用自动化工具,它就不再只是实验环境,而是新的中间件。
7 月 8 日,CISA 将 Langflow 授权绕过漏洞加入 KEV 的消息,正好说明这一点。
事件概述
CISA 将 CVE-2026-55255 加入 Known Exploited Vulnerabilities(KEV)目录,要求美国联邦民用机构在 2026 年 7 月 10 日前按要求处置。BleepingComputer 与 The Hacker News 均在 7 月 8 日跟进报道。
NVD 描述显示,Langflow 是用于构建和部署 AI Agent 与工作流的平台。CVE-2026-55255 是 /api/v1/responses 端点中的 IDOR 类授权绕过漏洞。受影响版本为 1.9.1 之前版本,修复版本为 1.9.1 及以上。
GitHub 安全公告显示,该漏洞允许已认证攻击者通过指定其他用户的 flow ID,执行不属于自己的流程。Sysdig 研究则将该问题放在真实攻击链中分析,指出攻击者更关注 AI 主机上的算力、云密钥和模型/API 凭据。
核心事实
事实:CVE-2026-55255 已进入 CISA KEV,CISA/NVD 页面显示 Date Added 为 2026-07-07,Due Date 为 2026-07-10。
事实:GitHub 安全公告 GHSA-qrpv-q767-xqq2 显示,受影响版本为 Langflow 1.9.1 之前版本,修复版本为 1.9.1 及以上。
事实:BleepingComputer 7 月 8 日报道称,Sysdig 曾在 6 月 25 日观察到 CVE-2026-55255 的在野利用活动,并将其与其他 Langflow 漏洞一起放入攻击链中。
推测:AI 工作流平台会继续成为攻击者关注目标,因为它们常常保存 LLM API Key、云服务凭据、数据库连接、内部知识库访问权限和自动化动作能力。这个判断基于当前攻击趋势,不代表每个 Langflow 实例都会被攻击。
观点:企业需要停止把 AI 平台当成“创新沙盒”默认豁免安全基线。只要它连接生产数据或生产账号,它就必须进入资产、补丁、日志和密钥治理流程。
影响分析
CVE-2026-55255 不是那种“看一眼就能打穿互联网”的低门槛漏洞。它需要认证,并且依赖有效的 flow ID。也正因为如此,单看 CVSS 或单看“是否远程执行代码”,容易低估真实业务影响。
对单租户自建环境来说,如果攻击者已经能登录,IDOR 的影响可能表现为越权执行其他流程、访问敏感输出、消耗算力资源,或者借助流程中已有的密钥和连接能力扩大影响。
对多租户或托管环境来说,风险更敏感。因为不同用户或团队之间本应隔离,一旦流程 ID 和执行权限边界被绕过,就可能形成跨租户访问问题。
更大的问题在于 AI 工作流平台的“连接能力”。它可能同时连接模型服务、对象存储、工单系统、数据库、代码仓库、企业微信/Slack、内部 API。攻击者不一定需要直接拿到服务器 root 权限,只要能让受害者流程带着自己的凭据去执行,就可能获得敏感数据或业务动作能力。
企业应对建议
1. 立即确认是否部署 Langflow,尤其是互联网可访问、测试后长期未下线、由业务团队自行部署的实例。
2. 升级到官方修复版本。对于 CVE-2026-55255,应按 GitHub 安全公告升级到 1.9.1 或更高版本,并结合后续官方建议复核版本线。
3. 限制访问边界。Langflow 管理界面和 API 不应直接暴露给公网;确需远程访问时,应放在受控网络、VPN 或零信任访问策略后。
4. 轮换高风险密钥。检查 Langflow 中保存或可调用的 LLM API Key、云密钥、数据库连接、Webhook、CI/CD Token 和内部 API Token,发现暴露迹象时及时轮换。
5. 做日志关联。关注异常登录、流程枚举、跨用户流程调用、异常资源消耗、短时间大量执行、未知外联和新建 API Key。
6. 将 AI 工具纳入生产资产管理。明确责任人、补丁 SLA、访问控制、备份策略、密钥管理、审计日志保留和应急预案。
结语
Langflow 的风险不是孤立事件,而是 AI 工作流平台走向生产后必然面对的问题。
当一个平台能调用模型、读取知识库、访问云资源、执行自动化动作时,它就是企业新的控制面。控制面没有“试用版安全”这一说。今天的正确做法,是把 AI 工作流平台按生产系统管理,而不是等到它出现在 KEV 里才临时补课。
关键来源
• CISA KEV / NVD,CVE-2026-55255,Date Added:2026-07-07,Due Date:2026-07-10:https://nvd.nist.gov/vuln/detail/CVE-2026-55255
• GitHub Security Advisory GHSA-qrpv-q767-xqq2,Published:2026-06-19:https://github.com/langflow-ai/langflow/security/advisories/GHSA-qrpv-q767-xqq2
• BleepingComputer,2026-07-08 05:58 AM,CISA orders feds to prioritize patching Langflow auth bypass flaw:https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-prioritize-patching-langflow-auth-bypass-flaw/
• The Hacker News,2026-07-08,CISA Adds 4 Actively Exploited Adobe, Joomla, and Langflow Flaws to KEV:https://thehackernews.com/2026/07/cisa-adds-4-actively-exploited-adobe.html
• Sysdig,2026-06-26,Understanding Langflow CVE-2026-55255:https://webflow.sysdig.com/blog/understanding-langflow-cve-2026-55255-and-why-higher-cvss-vulnerabilities-arent-always-the-most-exploited
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:字节脉搏实验室 tcode tcode《Langflow 漏洞进入 CISA KEV:AI 工作流平台,已经不是“实验环境”》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论