更新時間:2026/03/27 14:20:08
發佈時間:2026/03/27 14:20:08
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
大型語言模型開發工具Langflow存在遠端程式碼執行漏洞(CVE-2026-33017)。該漏洞於利用POST方法呼叫 /api/v1/build_public_tmp/{flow_id}/flow端點時觸發,並允許攻擊者於未經身分驗證情況下建立公開流程。當於請求提供data參數時,系統會改用請求內的流程資料並執行其中的Python指令,使攻擊者得以執行任意程式碼。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[2]
2. Endor Labs提供PoC程式碼與測試結果。[3]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-33017
描述:
使用版本:CVSS 4.0
分析分數:9.3
參考來源:GitHub Advisory
▶ 影響平台
⌵
影響平台-系統:
1. langflow(pip):1.8.1(含)以下版本受影響,建議升級至1.9.0或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/langflow-ai/langflow/security/advisories/GHSA-vwmf-pq79-vjvx | GitHub Advisory(Langflow) |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://www.endorlabs.com/vulnerability/cve-2026-33017 | Endor Labs |
情資編號:
FISAC-200-202603-0015
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞