z4yd3/PoC-CVE-2026-33017

# CVE-2026-33017：Langflow <= 1.8.2 中的未认证 RCE ## 描述 Langflow 中存在一个严重的代码注入漏洞，允许未经认证的远程攻击者在服务器上执行任意 Python 代码。该漏洞位于 POST ```/api/v1/build_public_tmp/{flow_id}/flow``` 端点。虽然该端点旨在允许未经认证的用户构建“公共流 (public flows)”，但它错误地处理了一个可选的 data 参数。当提供此参数时，Langflow 会使用 exec() 函数执行包含任意 Python 代码的、受攻击者控制的流定义，且未进行任何沙箱隔离或验证。 ## 概要 此概念验证 (PoC) 演示了 Langflow 1.8.2 之前版本中的未认证远程代码执行 (RCE)。该漏洞的存在是因为应用程序愿意通过 build_public_tmp API 端点接受并执行在“Custom Component”模板中提供的原始 Python 代码。 **已在 LANGFLOW 1.8.2 上测试**  ### [+] 获取 Shell！获取 Shell！获取 Shell！ https://github.com/user-attachments/assets/63358c33-0eca-49f4-84eb-542a5859dc0f ``` Usage: python3 script.py ``` ## 参考 ### 官方追踪与数据库 **CVE-2026-33017 (MITRE):** https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-33017 **NVD 条目:** https://nvd.nist.gov/vuln/detail/CVE-2026-33017 ### 技术分析与公告 **Langflow GitHub 安全公告:** https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx

标签：AI基础设施安全, CISA项目, CVE-2026-33017, CVSS高分, Go语言工具, Langflow, LLM工作流, PoC, RCE, Web安全, 开源软件漏洞, 暴力破解, 未授权攻击, 沙箱逃逸, 编程工具, 自定义组件, 蓝队分析, 输入验证缺失, 远程代码执行, 逆向工具