Langflow 存在漏洞可执行任意代码

近日，Langflow AI代理框架中一个于4月修复的严重远程代码执行漏洞正被用于部署僵尸网络恶意软件，已经有野外利用的记录。Langflow是一款用Python编写的开源工具，它允许经过身份验证的用户执行任意代码。CVE-2025-3248 漏洞却赋予了未经身份验证的用户同样的权限。一旦恶意软件成功安装并建立连接，它就可以通过接收命令，发起各种分布式拒绝服务 (DDoS) 攻击。目前研究人员建议建议 Langflow 用户立即将部署升级到4 月 1 日发布的包含补丁的1.3.0 版本，或升级到最新版本 14.0 版本。