中國信息安全 2026年3月9日 18:31 北京

漏洞情況

近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于Langflow 安全漏洞（CNNVD-202602-4530、CVE-2026-27966）情況的報(bào)送。攻擊者利用該漏洞可以遠(yuǎn)程執(zhí)行代碼。Langflow 1.8.0之前版本均受此漏洞影響。目前，Langflow官方已發(fā)布補(bǔ)丁修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。

一漏洞介紹

Langflow是一個開源的用于構(gòu)建和部署AI驅(qū)動智能體與工作流的可視化平臺。Langflow存在一個安全漏洞，該漏洞源于在創(chuàng)建CSVAgent時(shí)將allow_dangerous_code參數(shù)硬編碼為True，導(dǎo)致系統(tǒng)自動啟用LangChain的python_repl_ast工具，攻擊者利用該漏洞可以遠(yuǎn)程執(zhí)行代碼。

二危害影響

Langflow 1.8.0之前版本均受此漏洞影響。

三修復(fù)建議

目前，Langflow官方已發(fā)布補(bǔ)丁修復(fù)了該漏洞，建議用戶及時(shí)確認(rèn)產(chǎn)品版本，盡快采取修補(bǔ)措施。官方參考鏈接：

https://github.com/langflow-ai/langflow/security/advisories/GHSA-3645-fxcv-hqr4本通報(bào)由CNNVD技術(shù)支撐單位——中國銀聯(lián)股份有限公司、三六零數(shù)字安全科技集團(tuán)有限公司、清遠(yuǎn)職業(yè)技術(shù)學(xué)院、溫州市數(shù)據(jù)集團(tuán)有限公司、金盾檢測技術(shù)股份有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、上海戟安科技有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、北京賽博昆侖科技有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、中國聯(lián)合網(wǎng)絡(luò)通信有限公司深圳市分公司、內(nèi)蒙古數(shù)字安全科技有限公司、天翼安全科技有限公司等技術(shù)支撐單位提供支持。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。聯(lián)系方式: cnnvd@itsec.gov.cn

（來源：CNNVD）