大型語言模型開發工具Langflow存在重大漏洞，未經驗證的攻擊者可用於執行任意程式碼

除了能讓攻擊者在未通過身分驗證的狀態下，就能以完整的伺服器處理程序存取權限，遠端執行任何程式碼，CVE-2026-33017造成的影響，還包括造成伺服器遭到徹底入侵，使得攻擊者能隨意讀取或寫入檔案、洩露環境變數（API金鑰、資料庫憑證、雲端權杖等）、利用反向Shell建立長期存取管道、在網路環境橫向移動，並洩露工作流程與訊息。

通報此事的Amazon資安工程師Aviral Srivastava同日也透過部落格說明細節：該漏洞存在於Langflow處理public flow的功能，攻擊者可透過/api/v1/build_public_tmp/{flow_id}/flow端點，在未登入情況下觸發流程建構機制，並注入惡意程式碼，最終達成遠端程式碼執行。漏洞核心問題在於系統未對使用者輸入進行適當驗證，即直接將資料交由後端執行。由於Langflow本身設計即允許執行Python程式碼，一旦缺乏限制，攻擊者即可利用此特性取得系統控制權。

在攻擊情境中，駭客只需找到對外暴露的Langflow服務，即可發送特製請求，不需帳號或任何互動，即可在伺服器端執行任意程式，進一步進行資料竊取、植入後門或橫向移動。

Srivastava提及一年前揭露的資安漏洞CVE-2025-3248，他指出CVE-2026-33017為同類型漏洞，皆屬未經身分驗證的RCE弱點，都是因為端點執行相同的呼叫造成，但兩者各自位於Langflow不同的端點。

不過，緩解漏洞的方式，卻無法比照辦理。Srivastava指出，由於存在CVE-2026-33017的端點為公開流程服務，若是像修補CVE-2025-3248加入額外的驗證要求，將會破壞整個公開流程的功能，真正的解決方法，是必須完全移除公開端點的資料參數，使公開流程只能執行伺服器端的流量資料，無法接受攻擊者提供的定義資料，來達到緩解弱點的目的。

值得留意的是，CVE-2025-3248在2025年3月Langflow開發工程團隊修補後，5月美國網路安全暨基礎設施安全局（CISA）警告已遭利用，6月趨勢科技指出，殭屍網路Flodrix用於綁架Langflow伺服器發動DDoS攻擊，因此CVE-2026-33017揭露的後續情形，也相當值得關注。