何が起きたか
IBM のセキュリティ勧告(2026年6月29日付)によると、Langflow の認証情報暗号化は Python の Mersenne Twister PRNG(非暗号学的 PRNG)を使用し、SECRET_KEY でシードして保存時の認証情報暗号化用の Fernet 対称鍵を導出していることが確認されています。このため、SECRET_KEY を取得した攻撃者は、ブルートフォース攻撃なしでオフラインのすべての保存された認証情報を復号化できます。この欠陥は MCP エンドポイントのパストラバーサルと連鎖可能で、最初に SECRET_KEY を流出させてからすべての認証情報を復号化できます。
なぜ重要か
Langflow は、すべての LLM プロバイダー(OpenAI、Anthropic など)およびダウンストリーム データベースの認証情報を保存する中央 AI オーケストレーション ハブです。侵害されると、攻撃者はプラットフォームと統合されたすべての AI サービスのキーを入手できます。IBM はこれを CVSS 9.1 Critical と評価しました。IONIX は、認証なしのリモート攻撃者がこれを悪用して、保存されたすべての認証情報を完全に開示できることを確認しました。
攻撃経路
Langflow は SECRET_KEY でシードされた Python の非暗号学的 Mersenne Twister PRNG を使用して Fernet 暗号化キーを導出していました。SECRET_KEY が 32 文字未満の場合、導出されたキーは完全に確定的です。より長いキーの場合でも、未処理の SECRET_KEY は Fernet キーとして直接使用されていたため、secret_key ファイルが取得されると(たとえば、付属の MCP パストラバーサル CVE を経由して)オフライン復号化は簡単になります。
影響を受けるシステム
IBM Langflow OSS 1.0.0 – 1.10.0
緩和策
Langflow 1.10.1 にアップグレードしてください。すべての以前に保存された認証情報(LLM API キー、DB パスワード、OAuth トークン)をすぐにローテーションしてください。IBM 勧告:https://www.ibm.com/support/pages/node/7278447