Langflow 的一個嚴重安全漏洞在公開披露後 20 小時內就被積極利用，這凸顯了威脅行為者利用新發布的漏洞的速度之快。此安全缺陷被追蹤為CVE-2026-33017（CVSS 評分：9.3），是一個缺少身份驗證並結合程式碼注入的案例，可能導致遠端執行程式碼。

根據 Langflow 針對此缺陷發布的公告，「POST /api/v1/build_public_tmp/{flow_id}/flow 端點允許建立公共流而無需驗證」。

「當提供可選的資料參數時，端點會使用攻擊者控制的流資料（節點定義中包含任意 Python 程式碼），而不是資料庫中儲存的流資料。這段程式碼會以零沙箱的方式傳遞給 exec() 函數，從而導致未經身份驗證的遠端程式碼執行。」此漏洞影響 1.8.1 及之前的所有開源人工智慧 (AI) 平台版本。目前已在開發版本 1.9.0.dev8中解決。

安全研究員 Aviral Srivastava 於 2026 年 2 月 26 日發現並報告了該漏洞。他表示，該漏洞與CVE-2025-3248（CVSS 評分：9.8）不同。 CVE-2025-3248 是 Langflow 中的另一個嚴重漏洞，它利用 /api/v1/validate/code 端點在無需任何驗證的情況下執行任意 Python 程式碼。據美國網路安全和基礎設施安全局 (CISA) 稱，該漏洞目前已被積極利用。

Srivastava解釋說：「CVE-2026-33017 位於 /api/v1/build_public_tmp/{flow_id}/flow 中」，並補充說，根本原因是鏈的末尾使用了與 CVE-2025-3248 相同的 exec() 呼叫。

「這個端點設計為無需身份驗證，因為它服務於公共流。你不能簡單地添加身份驗證要求而不破壞整個公共流功能。真正的解決方法是從公共端點完全移除數據參數，這樣公共流就只能執行其存儲的（伺服器端）流數據，而永遠不接受攻擊者提供的定義。」

成功利用此漏洞後，攻擊者只需發送一個 HTTP 請求即可獲得伺服器進程的全部權限，並執行任意程式碼。憑藉此權限，攻擊者可以讀取環境變數、存取或修改檔案以注入後門或擦除敏感數據，甚至可以取得反向 shell。Srivastava告訴The Hacker News，利用CVE-2026-33017漏洞“極其容易”，可以透過惡意設計的curl命令觸發。他補充說，只需發送一個包含惡意Python程式碼的HTTP POST請求（JSON有效載荷中也包含惡意Python程式碼），即可立即執行遠端程式碼。

從發布安全建議到首次利用漏洞的 20 小時窗口期，與漏洞利用時間中位數 (TTE) 從 2018 年的 771 天縮短到 2024 年的幾個小時的加速趨勢相符。根據 Rapid7 發布的《2026 年全球威脅情勢報告》，過去一年中，從漏洞發佈到將其納入 CISA 的已知利用漏洞 (KEV) 目錄的平均時間從 8.5 天減少到 5 天。

報告補充道：「這種時間線壓縮給防禦者帶來了嚴峻挑戰，企業部署修補程式的平均時間約為 20 天，這意味著防禦者暴露在外、易受攻擊的時間過長。威脅行為者正在監控與防御者相同的安全建議信息源，且他們構建漏洞利用程序的速度遠超大多數企業評估、測試和部署補丁的速度。企業必須徹底重新審視其漏洞管理計劃，以適應現實情況。」

建議使用者盡快更新到最新的修補程式版本，審核任何公開的 Langflow 實例上的環境變數和金鑰，作為預防措施輪換金鑰和資料庫密碼，監控到異常回調服務的出站連接，並使用防火牆規則或具有身份驗證的反向代理來限制對 Langflow 實例的網路存取。

Sysdig 總結道：「CVE-2026-33017 [...] 表明了一種正在成為常態而非例外的模式：流行的開源工具中的關鍵漏洞在披露後的幾個小時內就被武器化，通常甚至在公開的 PoC 代碼可用之前。」

資料來源：https://thehackernews.com/2026/03/critical-langflow-flaw-cve-2026-33017.html