【高危AI漏洞预警】Langflow容器权限提升漏洞CVE-2025-57760

漏洞描述:

Lаnɡflоԝ是一款用于构建和部署AI驱动的代理和工作流的工具,它允许用户通过RCE访问权限调用内部CLI命令lаnɡflоԝ ѕuреruѕеr来创建新的管理员用户,即使用户最初通过UI注册为普通非管理员账户,也能获得完整的超级用户访问权限。 

攻击场景:

攻击者可能通过RCE访问权限调用内部CLI命令,创建新的管理员用户获得完整的超级用户访问权限

检测方法:

检查系统日志,查找未经授权的用户创建管理员账户的行为

利用条件:

攻击者必须拥有RCE访问权限 

修复建议:

补丁名称:

Lаnɡflоԝ权限提升漏洞—-暂无最新版本更新,建议持续关注厂商主页

文件链接:

https://github.com/langflow-ai/langflow/releases 

缓解方案:

限制对内部CLI命令的访问,仅允许信任的用户执行

文章来源：飓风网络安全