更新時間:2026/05/26 15:11:09
發佈時間:2026/05/26 15:11:09
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Langflow存在一項來源驗證錯誤漏洞(CVE-2025-34291,CWE-346)。該漏洞源於跨來源資源共享(CORS)與更新權杖Cookie(Refresh Token Cookie)設定過於寬鬆,未經身分驗證的遠端攻擊者可透過誘使受害者造訪惡意網頁,取得受害者工作階段的存取權杖及更新權杖,進而利用內建功能執行任意程式碼,可能導致系統遭完全控制。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[2]
▶ 漏洞資訊
⌵
名稱:
CVE-2025-34291
描述:
使用版本:CVSS 4.0
分析分數:9.4
參考來源:GitHub(CVE-2025-34291)
▶ 影響平台
⌵
影響平台-系統:
1. Langflow 1.6.9(含)之前版本受影響。
▶ 建議措施
⌵
1. 目前官方尚未發布修補版本,建議持續關注Langflow官方後續更新資訊。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/advisories/GHSA-577h-p2hh-v4mv | GitHub(CVE-2025-34291) |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
情資編號:
FISAC-200-202605-0009
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞