漏洞描述
LangFlow 是一款基于 Python 的低代码可视化 AI 应用构建工具,专注于多智能体人工智能(Multi-Agent AI)、提示工程(Prompt Engineering)和检索增强生成(RAG, Retrieval-Augmented Generation)应用的开发。1.3.0之前的Langflow版本存在远程代码执行漏洞,攻击者可以通过/api/v1/validate/code端点发送精心构造的HTTP请求,执行任意代码。
Langflow /api/v1/validate/code 代码执行漏洞(CVE-2025-3248)
PoC代码
暂无