Langflow CVE-2025-3248漏洞
用户必须将 Langflow 更新至 1.3 及以上版本,以防范 CVE-2025-3248 漏洞。
补充说明
- 此处 “>= 1.3” 表示 “版本号大于或等于 1.3”,对应 Langflow 官方修复 CVE-2025-3248 漏洞的版本(官方明确 1.3.0 版本已修复该漏洞,1.3 及以上后续版本均包含此修复)。
- 通过版本更新修复漏洞,避免远程未授权攻击者利用该漏洞(代码注入)执行任意代码。
CVE-2025-3248 详情
发布时间:2025 年 04 月 09 日 00:00:00
待分析
此 CVE 记录已标记为待 NVD(美国国家漏洞数据库)补充完善。
漏洞描述
Langflow 软件1.3.0 版本之前的版本中,/api/v1/validate/code接口存在代码注入漏洞。远程未授权攻击者可发送构造的 HTTP 请求,执行任意代码。
评分指标(CVSS)
- CVSS 4.0 版本
- CVSS 3.x 版本
- CVSS 2.0 版本
NVD 的补充完善工作会参考公开信息关联向量字符串,同时也会展示其他来源提供的 CVSS 信息。
CVSS 4.0 严重程度及向量字符串
- NVD(美国国家标准与技术研究院:国家漏洞数据库):未提供(N/A),NVD 暂未完成评估。
CVSS 3.x 严重程度及向量字符串
- NVD(美国国家标准与技术研究院:国家漏洞数据库):基础评分未提供(N/A),NVD 暂未完成评估。
- CNA(漏洞协调机构):VulnCheck
CVSS 2.0 严重程度及向量字符串
- NVD:未提供相关信息
漏洞公告、解决方案及工具参考链接
https://github.com/langflow-ai/langflow/pull/6911(Langflow 官方代码仓库的漏洞修复拉取请求)
https://github.com/langflow-ai/langflow/releases/tag/1.3.0(Langflow 1.3.0 版本发布页,含漏洞修复内容)
https://www.horizon3.ai/attack-research/disclosures/unsafe-at-any-speed-abusing-python-exec-for-unauth-rce-in-langflow-ai/(Horizon3 安全团队发布的漏洞详情报告,含攻击原理分析)
漏洞类型枚举(CWE)
CWE 编号CWE 名称来源
CWE-306关键功能缺失身份验证VulnCheck
变更历史
共找到 2 条变更记录,具体如下:
1. VulnCheck 于 2025 年 04 月 09 日 下午 3:15:50 修改 CVE 记录
2. VulnCheck 于 2025 年 04 月 07 日 上午 11:15:44 提交新 CVE 记录
新增漏洞描述 Langflow 软件 1.3.0 版本之前的版本中,/api/v1/validate/code接口存在代码注入漏洞。远程未授权攻击者可发送构造的 HTTP 请求,执行任意代码。
新增CVSS V3.1无AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
新增CWE(漏洞类型)无CWE-306
新增参考链接 https://github.com/langflow-ai/langflow/pull/6911
新增参考链接 https://github.com/langflow-ai/langflow/releases/tag/1.3.0
快速信息
- CVE 词典条目:CVE-2025-3248
- 来源:VulnCheck
以上是 Langflow CVE-2025-3248漏洞 的全部内容, 来源链接: yudiai.com/flows/10004.html
