Langflow 高危漏洞 CVE-2026-5027 已遭野外利用：未修补的路径遍历可致远程代码执行

如果你的 Langflow 实例暴露在公网，需要立即检查这个漏洞的影响。 2026年6月10日，开源低代码 AI 平台 Langflow 被确认存在一个已遭主动利用的未修补漏洞——CVE-2026-5027（CVSS 8.8）。据 VulnCheck 确认，该漏洞已在野外被用于远程代码执行。攻击者可向文件上传端点发送精心构造的请求，利用路径遍历序列写入任意文件，并在特定部署条件下进一步实现远程代码执行或持久化。 更关键的是：该漏洞由 Tenable 在数月前就已披露，但维护者至今未发布补丁。

今日主线：当 AI 开发工具本身成为攻击面，你应该如何应对？

这不是一个关于“未来可能”的风险提醒——而是一个“正在发生”的工程决策问题：你的组织是否在使用 Langflow？如果用了，尤其是默认 auto-login 或公网暴露的部署中，攻击者可能无需预先凭据完成利用，写入文件并进一步触发代码执行。

发生了什么

• 漏洞细节：CVE-2026-5027 是 Langflow 的路径遍历漏洞。据披露，攻击者可通过向某个文件上传端点发送 multipart 表单数据，利用路径遍历序列（如../）写入文件系统任意位置。
• 发现与披露时间线：Tenable 在数月前多次尝试联系项目维护者，均未获回应；2026年3月27日 Tenable 公开发布漏洞详情。
• 目前状态：据 VulnCheck 确认，该漏洞已在野外被用于远程代码执行。截至2026年6月10日，Langflow 官方仍未发布补丁。
• 影响范围：Langflow 是流行的开源低代码 AI 应用构建平台，广泛用于快速搭建 RAG 应用、Agent 工作流等。任何暴露了该文件上传端点的实例都可能成为攻击目标。

变化在哪里

旧的工作方式：开发者认为 AI 应用的安全风险主要来自提示注入、数据泄露或模型输出偏差，因此安全关注点集中在应用逻辑层（如输入过滤、权限控制）。

现在新增的风险：AI 开发平台本身的基础设施安全出现了未修补的 RCE 漏洞。在默认 auto-login 暴露或访问控制较弱的部署中，攻击者可能无需预先凭据完成利用。这意味着：

• 如果你在生产环境部署了 Langflow，攻击者可能通过任意文件写入进一步写入 webshell、植入后门，或读取运行环境中暴露的 API key 和数据库凭证。
• Langflow 作为低代码平台，常被赋予较高文件写入权限（用于管理流程文件），漏洞的攻击面比普通 Web 应用更大。
• 在官方补丁可用并完成升级前，最现实的防御手段是部署环境层面的缓解措施。

值得注意的旁证：JetBrains 于2026年6月10日发布的《Agentic AI Governance》文章指出，组织在部署 agentic 工作流时，应首先确保“边界条件”——即 agent 能否访问不该访问的系统。Langflow 漏洞恰好把这个问题从理论推到了现实：你的应用构建平台本身就被攻破了，后续所有的 agent 行为和权限控制都失去了根基。

谁会受影响

• AI 应用开发者 / 创业者：如果你用 Langflow 构建了面向客户或内部使用的 AI 应用，立即检查你的 Langflow 实例是否暴露了该文件上传端点。这是最高优先级。
• 技术管理者：评估 Langflow 在你技术栈中的位置：是否在生产环境？是否与内部数据库、API 密钥绑定？如果是，需要立刻封堵入口。
• 安全 / 基础设施团队：需要监控 Langflow 服务器的异常文件写入行为，并在边界防火墙/WAF 层面阻断对该文件上传端点的 POST 请求。
• 普通团队（未使用 Langflow）：这是一个提醒——检查其他低代码 AI 平台是否存在类似的未修补或已披露但未修复的漏洞。Tenable 在披露前多次联系维护者，这种流程对任何开源项目都适用。

可以怎么做

• 立即检查暴露面：确认 Langflow 是否暴露在公网、是否启用了默认 auto-login、文件上传端点是否对非受信任网络开放。需要验证时，只能在授权隔离环境中使用无敏感内容的测试文件，避免上传本机配置、密钥或系统文件。
• 临时缓解措施（补丁发布前有效）：
• 在反向代理（Nginx、Cloudflare）中添加规则，阻断对该文件上传端点的所有 POST 请求，除非你有明确的白名单场景。
• 如果必须使用该端点，实施 IP 白名单限制（仅允许受信任的内部网络访问）。
• 监控文件系统异常的写入操作，特别是/tmp、/var/www等目录。
• 降低关键路径风险：如果 Langflow 在关键生产路径中，短期内优先下线公网入口、隔离到内网，或使用容器化部署并严格控制文件写入权限。是否迁移到其他平台需要另做安全和功能评估，不应仅凭单个漏洞仓促替换。
• 关注官方更新：持续跟踪 Langflow 的 GitHub 仓库和邮件列表，一旦补丁发布立即升级。
• 安全审计：如果你是 Langflow 的用户，审查近期的访问日志，查看是否有异常的文件上传请求。

风险和不确定性

• 当前信息主要来自 The Hacker News 的报道，该报道引用了 Tenable（漏洞发现者）和 VulnCheck（活跃利用确认者）两个独立安全机构，证据链相对完整。
• Langflow 官方可能在漏洞公开后发布了无声修复，但报道称截至披露时未响应。读者需自行验证最新版本是否已修复。
• 报道未披露攻击的具体目标或受害者数量，因此不建议恐慌，但必须采取谨慎防御姿态。

来源链接

• The Hacker News: Unpatched Langflow Flaw CVE-2026-5027 Exploited for Unauthenticated RCE