• 漏洞编号：CVE-2026-21445
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：暂无

漏洞描述

Langflow是一个基于FastAPI构建的开源框架，用于简化和管理自然语言处理（NLP）工作流的开发。它提供了一套直观的API接口，帮助开发者快速构建和部署对话系统、自动化任务等应用。Langflow旨在提供灵活的扩展性和高效的数据处理能力，适用于各种NLP项目，支持与多个机器学习模型和数据源的集成。2026年1月4日，启明星辰集团VSRC监测到Langflow存在多个关键AP接口缺少身份验证控制的漏洞，导致未经过身份验证的用户能够访问敏感的用户对话数据、交易历史记录，并执行破坏性操作，包括删除消息等。这些漏洞出现在src/backend/base/langflow/api/v1/monitor.py文件中的三个API接口，具体为：获取消息、获取交易记录和删除会话消息。由于缺少必要的身份验证依赖（Depends\(get\_current\_active\_user\)），攻击者可以在未提供身份验证信息的情况下访问这些接口，从而导致用户数据泄露、隐私侵犯及数据销毁风险。漏洞评分8.8分，漏洞级别高危。

修复建议

暂无

参考链接

https://github.com/langflow-ai/langflow/security/advisories/GHSA-c5cp-vx83-jhqx/

https://nvd.nist.gov/vuln/detail/CVE-2026-21445

https://www.venustech.com.cn/new_type/aqtg/20260104/29061.html