Langflow API 身份验证缺失漏洞

Langflow是一个基于FastAPI构建的开源框架，用于简化和管理自然语言处理（NLP）工作流的开发。它提供了一套直观的API接口，帮助开发者快速构建和部署对话系统、自动化任务等应用。Langflow旨在提供灵活的扩展性和高效的数据处理能力，适用于各种NLP项目，支持与多个机器学习模型和数据源的集成。2026年1月4日，启明星辰集团VSRC监测到Langflow存在多个关键AP接口缺少身份验证控制的漏洞，导致未经过身份验证的用户能够访问敏感的用户对话数据、交易历史记录，并执行破坏性操作，包括删除消息等。这些漏洞出现在src/backend/base/langflow/api/v1/monitor.py文件中的三个API接口，具体为：获取消息、获取交易记录和删除会话消息。由于缺少必要的身份验证依赖（Depends\(get\_current\_active\_user\)），攻击者可以在未提供身份验证信息的情况下访问这些接口，从而导致用户数据泄露、隐私侵犯及数据销毁风险。漏洞评分8.8分，漏洞级别高危。

Apache Kyuubi 目录访问控制绕过漏洞

Apache Kyuubi是Apache基金会旗下的分布式SQL网关与多租户计算服务平台，主要面向Apache Spark、Flink等大数据计算引擎。Kyuubi通过统一的服务层对外提供JDBC/REST等访问接口，实现会话隔离、权限控制、资源管理与审计能力，降低多用户共享大数据集群的运维与安全复杂度，广泛应用于企业级数据分析与数据治理场景。2026年1月7日，启明星辰集团VSRC监测到Apache Kyuubi Server中存在目录访问控制绕过漏洞。由于服务器端在处理本地路径时缺乏必要的路径规范化校验，攻击者只要能够通过Kyuubi前端协议访问服务，即可绕过kyuubi.session.local.dir.allow.list配置限制，访问或使用未被允许列表包含的本地文件资源。该问题可能导致本地敏感数据被非法读取，破坏系统原有的访问控制边界，增加数据泄露与合规风险。漏洞评分8.8分，漏洞级别高危。

HPE OneView 远程代码执行漏洞(CVE-2025-37164)

HPE OneView是HPE公司提供的一款数据中心基础设施管理软件，用于整合和管理数据中心内的物理IT资源。该软件存在一个远程代码执行问题，攻击者可以利用该问题在未授权的情况下远程执行代码，控制服务器。

ComfyUI-Manager API 未授权访问漏洞（CVE-2025-67303）

ComfyUI是一个开源的、基于节点的图像生成程序，用户能够使用它从文本生成图片。2026年1月，互联网上披露 CVE\-2025\-67303 ComfyUI\-Manager API 未授权访问漏洞，由于ComfyUI\-Manager 的数据与配置目录未受 ComfyUI 的 Web API 访问控制充分保护，导致攻击者可构造恶意请求并最终导致在服务器上实现远程代码执行。官方已发布 v3.38 版本，建议升级至最新版本。

n8n Pyodide 命令执行漏洞(CVE-2025-68668)

在n8n的Pyodide Python 代码节点中存在沙箱绕过漏洞，允许经过身份验证的用户通过创建或修改工作流来执行任意系统命令，从而获取服务器权限。