Langflow /validate/code 远程代码执行漏洞(CVE-2025-3248)

日期: 2025-04-10 | 影响软件: Apache Struts | POC: 否

漏洞描述

Langflow的/validate/code接口存在远程代码执行漏洞(CVE-2025-3248)。该漏洞源于系统未能对用户提交的Python代码片段实施有效的安全沙箱隔离或严格过滤机制,导致攻击者可以通过构造特殊代码注入系统命令(如使用os.system()或子进程调用函数)。此漏洞影响Langflow1.2.0及之前的所有版本,CVSS 3.1评分为9.8分(属于高危漏洞)。建议用户立即升级到最新修复版本,或者临时禁用动态代码验证功能作为缓解措施。

PoC代码

暂无

相关漏洞推荐