Langflow重大漏洞甫公佈就遭到利用
漏洞背景與風險
Langflow平臺被發現存在一個關鍵的遠端程式碼執行(RCE)漏洞,其識別碼為CVE-2025-3248。該漏洞允許攻擊者在未經身份驗證的情況下,透過發送特製的HTTP請求,執行任意程式碼,進而完全控制伺服器。
漏洞利用與攻擊行動
根據FortiGuard Labs與Trend Micro的研究報告,該漏洞在公佈後不久即被實際用於攻擊行動。攻擊者利用此漏洞建立「Flodrix」殭屍網路,用以發動分佈式拒絕服務(DDoS)攻擊,並對目標系統進行全面入侵。
相關技術細節
漏洞的根本原因在於Langflow平臺在處理程式碼驗證時,缺乏適當的安全控管機制。攻擊者可透過未受保護的API端點提交惡意Python程式碼,並成功執行,導致伺服器被完全控制。
其他相關漏洞
- 另有一個新漏洞CVE-2026-27966,發生於系統設計將參數寫死的瑕疵,但此漏洞與CVE-2025-3248無直接關聯。
美國CISA已證實,CVE-2025-3248漏洞已被實際用於攻擊行動,顯示其嚴重性與即時威脅。