Langflow 未經驗證的存取

critical Nessus Plugin ID 304684

語言:

概要

遠端主機正在執行允許未經驗證超級使用者存取的 AI 應用程式構建器。

說明

遠端主機上正在執行的用於建置多代理程式 AI 應用程式的視覺架構 Langflow 已啟用自動登入 (預設值為 LANGFLOW_AUTO_LOGIN=True)。Nessus 已透過在不使用任何憑證的情況下，從 /api/v1/auto_login 端點取得超級使用者存取權杖，藉此確認此弱點。

Langflow 的預設組態實際上是在未經驗證的情況下執行遠端程式碼。由於 Langflow 的核心目的是在流程節點中執行使用者定義的 Python 程式碼 (不使用沙箱)，因此任何具有 API 存取權的使用者皆可在該主機上執行任意程式碼。

其他不安全的預設會導致風險增加：

- CORS 允許使用所有來源，進而允許從任何網域進行跨網站惡意利用

- SSRF 保護已停用，這使得流量可進入內部網路服務

- 完整的 OpenAPI 規格可供公開存取，進而對應出攻擊破綻的整個範圍

具有網路存取權的未經驗證攻擊者可：

- 透過流程節點取得超級使用者權杖並在主機上執行任意 Python 程式碼

- 存取和洩漏已連線服務 (LLM 供應商、雲端資料庫、內部 API) 的已儲存憑證和 API 金鑰

- 建立、修改或刪除 AI 流程，以將惡意邏輯插入生產工作流程

- 透過 SSRF 或直接程式碼執行轉入內部網路，從而使用主機作為立足點

- 管理使用者並提升跨平台存取權

解決方案

設定 LANGFLOW_AUTO_LOGIN=False，並以非預設的超級使用者密碼設定驗證。
將 Langflow 置於強制執行驗證並限制存取的反向代理伺服器之後。啟用 SSRF 保護並限制 CORS 來源。不將 Langflow 直接洩漏給不受信任的網路。

另請參閱

https://www.langflow.org/

Plugin 詳細資訊

嚴重性: Critical

ID: 304684

檔案名稱: langflow_unauth_access.nbin

版本: 1.3

類型: Remote

系列: Artificial Intelligence

已發布: 2026/4/2

已更新: 2026/4/13

支援的感應器: Nessus

風險資訊

CVSS 評分論據: Default auto_login grants unauthenticated superuser access. langflow executes arbitrary python in flow nodes with no sandbox, making this effectively unauthenticated rce with full host compromise and lateral movement potential.