Langflow 未经认证的访问

critical Nessus 插件 ID 304684

语言：

简介

远程主机正在运行支持未经身份验证的超级用户访问的 AI 应用程序。

描述

Langflow 是用于构建多代理 AI 应用程序的可视化框架，其在启用自动登录（LANGFLOW_AUTO_LOGIN=True，默认值）的远程主机上运行。Nessus 已通过在无需任何凭据的情况下从 /api/v1/auto_login 端点获取超级用户访问标记来确认此问题。

Langflow 的默认配置为未经身份验证的远程代码执行。由于 Langflow 的核心目的是在流节点中执行用户定义的 Python 代码（无沙盒），因此任何具有 API 访问权限的用户可在主机上运行任意代码。

其他不安全的默认值复合了该风险：

- CORS 允许所有源，从而实现从任何域的跨站利用

- SSRF 保护禁用，从而允许流量到达内部网络服务

- 完整的 OpenAPI 规范可公开访问，映射了整个攻击面

具有网络访问权限且未经身份验证的攻击者可：

- 获取超级用户标记并通过流节点在主机上执行任意 Python 代码

- 访问并泄露为已连接的服务（LLM 提供程序、云数据库、内部 API）存储的凭据及 API 密钥

- 创建、修改或删除 AI 流，向生产管道注入恶意逻辑

- 将主机用作立足点，通过 SSRF 或直接代码执行进入内部网络

- 管理用户和升级跨平台的访问权限

解决方案

设置 LANGFLOW_AUTO_LOGIN=False 并使用非默认的超级用户密码配置认证。
将 Langflow 放置在可强制执行身份验证和限制访问的反向代理之后。启用 SSRF 保护并限制 CORS 来源。不向不受信任的网络直接暴露 Langflow。

另见

https://www.langflow.org/

插件详情

严重性: Critical

ID: 304684

文件名: langflow_unauth_access.nbin

版本: 1.3

类型: Remote

系列: Artificial Intelligence

发布时间: 2026/4/2

最近更新时间: 2026/4/13

支持的传感器: Nessus

风险信息

CVSS 分数理由: Default auto_login grants unauthenticated superuser access. langflow executes arbitrary python in flow nodes with no sandbox, making this effectively unauthenticated rce with full host compromise and lateral movement potential.