Langflow重大漏洞甫公佈就遭到利用
漏洞背景與風險
Langflow 是一個用於構建代理 AI 工作流程的開源開發工具,其平臺在處理程式碼驗證時缺乏適當的安全控管,導致存在遠端程式碼執行(RCE)漏洞,相關漏洞識別為 CVE-2025-3248。
漏洞被積極利用
根據 Trend Micro 與 FortiGuard Labs 的報告,該漏洞被用於實際攻擊行動,攻擊者可在未經身份驗證的情況下,透過特製 HTTP 請求提交惡意載荷,遠端執行任意程式碼。
美國 CISA 已證實,此漏洞已被實際用於攻擊,並被用來散佈 Flodrix 殭屍網路,以發動 DDoS 攻擊,並完全入侵系統。
攻擊行動時間線
- 2025年5月,CVE-2025-3248 漏洞被公開,並迅速引發攻擊行動。
- 2025年6月,Trend Micro 與 iThome 報導,攻擊者已利用此漏洞擴大影響範圍,並針對 Langflow 伺服器進行掃描。
- 2026年3月,新漏洞 CVE-2026-27966 被發現,但與 CVE-2025-3248 並無直接關聯。