Langflow 存在远程代码执行漏洞（CVE-2026-33017）

CVE: CVE-2026-33017

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 命令执行

漏洞等级: 高危

年份: 2026

POC_ID: 暂无

漏洞描述

Langflow build_public_tmp 接口设计缺陷。该接口在处理公共流构建时，错误地接受了攻击者控制的 data 参数，并将其中的 Python代码直接传递给 exec() 函数执行且无任何沙箱防护，导致未授权远程代码执行。

FOFA 语句

暂无

影响范围

Langflow

漏洞详情

暂无

漏洞 POC

暂无

修复建议

暂无

参考来源

https://rss.biu.life/ti/Langflow%20%E5%AD%98%E5%9C%A8%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2026-33017%EF%BC%89