Langflow的/validate/code接口存在远程代码执行漏洞（CVE-2025-3248）。该漏洞源于系统未能对用户提交的Python代码片段实施有效的安全沙箱隔离或严格过滤机制，导致攻击者可以通过构造特殊代码注入系统命令（如使用os.system()或子进程调用函数）。此漏洞影响Langflow 1.2.0及之前的所有版本，CVSS 3.1评分为9.8分（属于高危漏洞）。建议用户立即升级到最新修复版本，或者临时禁用动态代码验证功能作为缓解措施。

关注厂商官网动态，及时更新补丁信息。