漏洞概述 漏洞编号: #791919 漏洞名称: Langflow <= 1.1.0 Unrestricted Upload of File with Dangerous Type 漏洞类型: 未授权的文件上传漏洞 漏洞描述: Langflow 中存在一个未认证的任意文件上传漏洞,由于一个过时的“僵尸”API 端点仍然活跃。该端点 没有实现任何身份验证或所有权验证,允许任何远程用户将文件直接上传到服务器磁盘。 影响范围 受影响版本: Langflow <= 1.1.0 影响: - 拒绝服务(DoS):通过上传大文件耗尽磁盘空间。 - inode 耗尽:通过上传大量小文件耗尽 inode。 修复方案 修复建议: 移除或修复过时的 API 端点 ,确保其具有适当的身份验证和所有权验证。 POC 代码