首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Langflow API 身份验证缺失漏洞(CVE-2026-21445)

发布时间 2026-01-04

一、漏洞概述


漏洞名称

Langflow API 身份验证缺失漏洞

CVE   ID

CVE-2026-21445

漏洞类型

认证与授权缺失

发现时间

2026-1-4

漏洞评分

8.8

漏洞等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

已公开

在野利用

未发现


Langflow是一个基于FastAPI构建的开源框架,用于简化和管理自然语言处理(NLP)工作流的开发。它提供了一套直观的API接口,帮助开发者快速构建和部署对话系统、自动化任务等应用。Langflow旨在提供灵活的扩展性和高效的数据处理能力,适用于各种NLP项目,支持与多个机器学习模型和数据源的集成。


2026年1月4日,威廉希尔500欧洲指数集团VSRC监测到Langflow存在多个关键AP接口缺少身份验证控制的漏洞,导致未经过身份验证的用户能够访问敏感的用户对话数据、交易历史记录,并执行破坏性操作,包括删除消息等。这些漏洞出现在src/backend/base/langflow/api/v1/monitor.py文件中的三个API接口,具体为:获取消息、获取交易记录和删除会话消息。由于缺少必要的身份验证依赖(Depends(get_current_active_user)),攻击者可以在未提供身份验证信息的情况下访问这些接口,从而导致用户数据泄露、隐私侵犯及数据销毁风险。漏洞评分8.8分,漏洞级别高危。


二、影响范围


Langflow <=/new_type/aqtg/20260104/ /1.7.0


三、安全措施


3.1 升级版本


官方已发布修复补丁,以修复该漏洞。

Langflow > 1.7.1


下载链接:https://github.com/langflow-ai/langflow/releases/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://github.com/langflow-ai/langflow/security/advisories/GHSA-c5cp-vx83-jhqx/
https://nvd.nist.gov/vuln/detail/CVE-2026-21445
上一篇 下一篇