Apa yang terjadi
IBM mengungkapkan RCE tingkat tinggi (CVSS 8.8) di Langflow yang disebabkan oleh penegakan validasi yang tidak lengkap pada file konfigurasi MCP server yang diunggah melalui API file, melewati validator yang diterapkan pada jalur API konfigurasi MCP normal.
Mengapa penting
Konfigurasi server MCP mengontrol perintah/alat apa yang dapat dimulai oleh runtime agen AI; bypass ini memungkinkan penyerang yang telah diautentikasi untuk menanam definisi server MCP berbahaya yang menjalankan perintah arbitrer dengan hak istimewa proses Langflow, mengikis batas kepercayaan inti antara orkestrasi agen dan eksekusi alat.
Vektor serangan
Fungsi upload_user_file() API File Manager khusus menangani file bernama _mcp_servers_<user_id>.json tetapi tidak memanggil validator MCPServerConfig yang digunakan endpoint API MCP terstruktur. Penyerang mengunggah file konfigurasi MCP yang dirancang dengan variabel lingkungan/argumen perintah berbahaya; ketika server kemudian dicacah melalui get_server_list(), konfigurasi dianalisis sebagai JSON (tanpa re-validasi) dan dimulai melalui MCPStdioClient._connect_to_server(), menjalankan perintah/lingkungan yang dikendalikan penyerang.
Sistem yang terdampak
IBM Langflow OSS 1.0.0 hingga 1.10.0
Mitigasi
IBM menambal celah validasi; lihat buletin keamanan di node halaman dukungan/7278932. Tingkatkan Langflow dan audit file konfigurasi MCP yang telah diunggah sebelumnya.