无境web靶场上新:Langflow 远程代码执行与任意文件写入漏洞 | CVE-2026-33017/33309

棉花糖徽章-年度发烧元老-棉花糖会员站等级-LV7-棉花糖会员站2026年3月21日发布
1370

Langflow 框架近期被曝出两个高危安全漏洞:未经身份验证的远程代码执行漏洞(CVE-2026-33017)以及经身份验证的任意文件写入漏洞(CVE-2026-33309)。

33017的exp脚本已写好:https://pan.baidu.com/s/1Kkc9uoL8zq83mIFbwnl_Gg?pwd=4zk7

使用方法:

python3 exploit.py -u http://192.168.1.1:7860 -c “id > /tmp/pwned”

33309是任意文件写入,懒得写exp了

d2b5ca33bd20260321141016

 

无境上新
评分
欢迎为Ta评分
赞赏
分享
请登录后发表评论

    请登录后查看回复内容

分享
无境靶场-棉花糖会员站

无境靶场

用于讨论、发布无境靶场的相关内容
发布
帖子
34
互动
31
阅读
6487
用户封面
棉花糖的头像-棉花糖会员站糖心会员
泛微E-cology10 /papi/esearch/data/devops/dubboApi/debug/method 接口存在远程命令执行
浮盟云AjaxFormDefault存在SQL注入
天地伟业Easy7 downloadFile 存在SQL注入
玛智慧能源管理平台recharge存在SQL注入
深科特 LEAN MES WareHouseInOperation.ashx SQL注入
预拌砼综合管理系统upload.ashx存在任意文件上传
扫码添加微信-棉花糖会员站
在手机上浏览此页面