Langflow(CVE-2025-34291)CORS配置缺陷引发账户接管及远程代码执行漏洞风险提示
一、漏洞概述
当前人工智能低代码开发工具应用普及度持续提升,Langflow作为开源可视化AI智能体与工作流搭建平台,依托拖拽式组件编排能力,广泛用于企业RAG知识库、AI对话机器人、自动化业务智能体等场景开发部署,大量政企、研发机构将其部署在内网及公网环境中。近期披露编号CVE-2025-34291高危链式漏洞,漏洞因平台默认CORS策略配置宽松叠加Cookie属性设置不当导致,CVSS4.0风险评分高达9.4,风险等级为严重,存在在野利用情况,可完整实现账户接管以及服务端远程代码执行(RCE),对部署单位业务、数据安全形成重大威胁。
该漏洞归属CWE-346源验证错误,受影响版本为Langflow 1.6.9及全部更早版本。攻击者可通过诱导已登录Langflow的运维、业务人员访问恶意网页完成漏洞利用,攻击门槛较低,无需复杂前置条件;一旦漏洞得逞,攻击者可获取平台全部权限,窃取平台内置的大模型密钥、第三方接口凭据、业务工作流数据,甚至横向渗透入侵服务器,造成内部信息泄露、业务系统失陷等后果。
二、产品与漏洞成因分析
(一)Langflow基础架构简述
Langflow基于FastAPI框架开发,采用前后端交互架构。用户登录后会话凭据依托 refresh_token_lf 刷新Cookie维持长期登录状态,后端开放多组API接口用于工作流编辑、代码校验执行、身份令牌刷新等操作。其中 /api/v1/refresh 用于更新身份令牌, /api/v1/validate/code 接口具备原生代码解析运行能力,是本次漏洞实现远程代码执行的关键节点。
(二)漏洞形成两大核心配置缺陷
1.过度宽松的CORS跨域策略
Langflow默认配置 allow_origins='*' (允许任意来源跨域访问),同时开启 allow_credentials=True (允许跨域携带浏览器身份Cookie凭据)。按照Web安全通用规范,二者禁止同时启用,该配置允许任意外部网站发起跨域请求访问Langflow后端接口,服务端未对请求来源做合法性校验。
2.刷新令牌Cookie配置存在短板
平台登录凭证Cookie refresh_token_lf 默认设置为 SameSite=None 。该属性设置会使得浏览器在跨站点场景下,自动携带该身份Cookie发起请求,缺少跨站请求伪造防护能力。两项缺陷组合形成完整攻击链路。
(三)完整漏洞利用原理
1.攻击者搭建恶意网页,诱导处于Langflow已登录状态的工作人员进行访问;
2.恶意页面内置JavaScript脚本,静默发起跨域请求调用Langflow令牌刷新接口 /api/v1/refresh 。由于CORS策略与Cookie双重缺陷,浏览器自动携带受害者有效会话凭据,后端正常响应并返回全新 access_token 访问令牌以及刷新令牌;
3.攻击者劫持获取有效身份令牌,完成受害者Langflow账户接管,可任意访问后台全部功能;
4.利用平台自带代码校验接口 /api/v1/validate/code ,提交恶意Python指令,在部署服务器中执行任意系统命令,达成远程代码执行,全面控制Langflow服务节点,窃取工作流配置、各类API密钥、业务涉密数据。
三、漏洞风险影响范围
1.部署覆盖面风险
国内外大量研发团队、政企数字化部门使用Langflow快速搭建AI业务应用,公网暴露实例数量较多,且多数使用者缺乏专业安全配置优化意识,沿用软件默认配置,暴露面广。
2.业务连锁危害
Langflow大多对接企业内部知识库、业务系统、第三方大模型服务接口。平台被攻陷后,攻击者可借助已部署AI工作流为跳板,入侵关联业务系统,引发批量数据泄露。
3.运维安全风险
Langflow多部署在业务内网服务器,RCE权限一般为服务运行账户,极易被用于内网探测、持久化驻留,威胁服务器及局域网整体安全。
4.在野利用风险
海外安全机构监测到自2026年1月起该漏洞出现针对性在野攻击行为,美国CISA机构已将CVE-2025-34291收录至已知在野利用漏洞清单,提醒全球单位限期整改,漏洞威胁具备现实攻击性。
四、排查方式
1.资产梳理:全面排查内部服务器、容器、云主机环境,检索是否部署Langflow应用,核对程序版本号;
2.配置核查
(1)查看Langflow环境变量,确认是否存在 LANGFLOW_CORS_ORIGINS=* 且 LANGFLOW_CORS_ALLOW_CREDENTIALS=True 组合配置;
(2)检查前端后端分离部署场景,是否未限定可信访问源站;
3.行为监测:针对Langflow服务,监控 /api/v1/refresh 、 /api/v1/validate/code 接口异常高频访问、陌生IP批量调用行为。
五、分级整改及安全加固方案
(一)长期根治方案(优先执行)
1.升级Langflow至1.7及以上正式版本。新版本官方优化两项核心默认配置:
①CORS策略默认仅信任指定可信源站,不再全局放行跨域带凭据访问;
②刷新令牌Cookie默认调整为 SameSite=Lax ,阻断跨站点凭据携带行为,从根源消除该漏洞利用条件。
2.升级完成后重启Langflow服务,并清理旧会话Cookie,强制内部人员重新登录。
(二)临时紧急加固方案(无法立即升级场景)
1.优化CORS配置
修改环境变量,禁止 allow_origins="*" 搭配 allow_credentials=True 同时启用。
①若Langflow前后端同源部署:设置 LANGFLOW_CORS_ALLOW_CREDENTIALS=False ;
②若前后端分离部署:严格填写可信前端域名,例如 LANGFLOW_CORS_ORIGINS=https://xxx.xxx.com ,限定唯一可信访问来源,拒绝任意跨域访问。
2.强化Cookie安全属性
修改Langflow配置文件,将 REFRESH_SAME_SITE 参数设置为 Lax 或 Strict ,规避跨站点Cookie携带风险;可参考官方PR#10139代码补丁进行配置修改。
3.接口访问管控
通过WAF、服务器防火墙限制外网直接访问Langflow管理后台;对 /api/v1/refresh 、代码执行接口增加IP白名单访问策略。
4.人员安全提醒
告知内部使用Langflow工作人员,办公浏览器登录平台期间,不要随意访问陌生网站、不明链接,降低漏洞被诱导利用风险。
(三)长效安全管理建议
1.AI低代码平台上线前开展安全基线核查,严禁直接沿用软件默认Web配置;
2.梳理Langflow平台内存储的大模型密钥、业务接口凭证,进行权限最小化管控,即使平台出现安全风险,压缩数据泄露范围;
3.定期跟踪Langflow官方安全公告,建立开源AI工具版本巡检机制,及时修复高危漏洞;
4.在生产环境部署的AI工作流平台,优先放置内网区域,采用VPN、堡垒机方式访问,规避公网暴露风险
六、总结
CVE-2025-34291漏洞属于典型多配置缺陷叠加引发高危安全事件,并非Langflow代码底层漏洞,而是软件默认安全策略为兼容业务场景做出妥协,最终形成安全短板。随着AI低代码、智能体工具规模化落地,此类因开发兼容需求导致的配置类漏洞将逐步增多。
各使用单位需充分认识AI平台安全价值,摒弃“AI工具仅用于业务开发、无需安全加固”的认知误区,严格落实本次漏洞整改工作,完成版本升级或临时配置加固,同步完善内部AI应用资产台账与常态化安全巡检机制,切实规避AI应用带来的网络安全风险。
