用于构建 AI 代理的工具中存在被攻击者利用的 RCE 缺陷 （CVE-2025-3248）

快速阅读: 《帮助网络安全》消息，Langflow存在未授权访问漏洞（CVE-2025-3248），攻击者可借此执行任意代码。漏洞已于Langflow 1.3.0版本修复，但仍有约470个实例暴露在外。建议用户尽快升级并采取安全措施。

Langflow是一款用于构建AI驱动代理的Web应用程序，其中存在一个未授权访问漏洞（CVE-2025-3248）。攻击者已在真实环境中利用了这一漏洞，美国网络安全与基础设施安全局（CISA）已通过将其列入已知被利用漏洞（KEV）目录加以确认。

### 关于CVE-2025-3248
Langflow是一个基于开源、Python的应用程序，允许用户无需编码即可创建AI代理（例如聊天机器人助手）以及工作流。用户只需通过拖放和连接大型语言模型（LLM）组件，并添加必要输入即可完成操作。然而，Horizon3.ai的研究人员发现，在所有1.3.0版本之前的所有Langflow版本中，都存在一个未经身份验证的API端点（/api/v1/validate/code）。该端点会接收任何用户输入并直接执行，既没有进行有效清理，也没有实施沙箱处理。

CVE-2025-3248使远程、未经过身份验证的攻击者能够通过向该端点发送精心构造的HTTP请求（携带恶意负载）在易受攻击的实例上执行任意代码。攻击者可以借此执行多种操作，包括植入反向Shell/后门、窃取特定文件内容或部署恶意软件等。

该漏洞于2025年2月由Horizon3.ai的研究人员报告，并在同年3月下旬发布的Langflow 1.3.0版本中修复。一位独立研究人员在4月9日发布了概念验证（PoC）漏洞利用代码后，Horizon3.ai也随后公开了自己的版本。研究人员指出：“补丁将易受攻击的端点置于身份验证之后。尽管如此，这个漏洞仍可能被用来提升普通用户的权限至Langflow超级用户，但即便没有该漏洞，这也是可能实现的。”

### 利用尝试
根据Censys的数据，大约有470个面向互联网的Langflow实例暴露在外，较4月初的500多个有所减少。然而，这些实例是否已升级至修复版本尚不明确。值得注意的是，Horizon3.ai的研究人员表示，大多数暴露在互联网上的Langflow实例已启用身份验证，但这无法阻止利用行为的发生。

PoC发布两天后，SANS ISC的蜜罐开始记录对该漏洞的扫描活动。部分扫描尝试试图获取包含密码的文件，这表明攻击者正在进行侦察和潜在利用活动。SANS技术研究所研究院长约翰内斯·B·乌尔里希（Johannes B. Ullrich）指出，观察到的利用尝试主要来自TOR出口节点。目前尚不清楚CISA是否基于此报告或其他未公开的报告将该漏洞加入其KEV目录。

### 行动建议
建议使用Langflow进行AI开发工作的组织尽快升级到1.3.0版本。“作为一般做法，我们建议在将任何新开发的AI工具暴露到互联网时保持高度谨慎，”Horizon3.ai的研究人员强调，“如果你必须将其对外开放，请考虑将其部署在一个隔离的虚拟专用云（VPC）或单点登录（SSO）之后。仅仅一次错误的/影子IT部署在云实例上，就可能导致数据泄露。”

订阅我们的突发新闻邮件警报，以不错过最新的数据泄露、漏洞及网络安全威胁。
**点击这里订阅！**

(以上内容均由Ai生成)