【安全资讯】Langflow远程代码执行漏洞被利用攻击AI应用服务器
概要:
近期,美国网络安全与基础设施安全局(CISA)警告称,Langflow的远程代码执行(RCE)漏洞CVE-2025-3248正在被积极利用,要求各组织尽快应用安全更新。该漏洞允许攻击者通过一个API端点完全控制受影响的Langflow服务器,威胁程度极高。主要内容:
Langflow是一个开源的可视化编程工具,广泛用于构建基于大型语言模型(LLM)的工作流。其设计允许用户通过拖放界面创建和部署AI代理,而无需编写完整的后端代码。然而,在某些版本中,Langflow的代码验证API端点存在安全缺陷,未能有效地对用户提交的代码进行沙箱处理或输入清理,导致攻击者能够直接在服务器上执行恶意代码。CVE-2025-3248的修复版本1.3.0已于2025年4月1日发布,主要通过为受影响的端点添加身份验证来缓解风险。最新版本1.4.0也已发布,包含大量修复,用户应尽快升级。Horizon3的研究人员在其技术博客中指出,该漏洞的利用可能性极高,且当时至少有500个互联网暴露的实例。
CISA建议无法立即升级的用户通过防火墙、经过身份验证的反向代理或VPN限制Langflow的网络访问,并避免直接暴露于互联网。CISA还要求联邦机构在2025年5月26日前应用安全更新或采取缓解措施,否则需停止使用该软件。Langflow的设计存在特权分离差、无沙箱等问题,使其在安全性上存在固有缺陷,用户需对此保持警惕。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享