何が起きたか
Langflowの重大な不正直接オブジェクト参照/ユーザー制御キーを通じた認可バイパスの脆弱性(CWE-639、CVSS 9.9)がAIエージェント/ワークフロー構築用の人気のあるオープンソース・ビジュアル・フレームワークで、2026年6月25日以降、Sysdig Threat Research Teamによる実際の悪用が確認され、2026年7月7日にCISAのKEVカタログに追加された。
なぜ重要か
Langflowは広く導入されているオープンソースAIオーケストレーション・プラットフォームであり、この欠陥は認証済み攻撃者が他のテナントのAIワークフローをハイジャックし、フローに埋め込まれたLLMプロバイダー・キー、クラウド認証情報、データベース・シークレットを収集することを可能にする。これはAIインフラストラクチャへの直接の、確認された、積極的に悪用される資格情報収集パスであり、JadePufferランサムウェア・キャンペーンで使用された以前のCVE-2025-3248 RCE欠陥とは異なる。
攻撃経路
get_flow_by_id_or_endpoint_name()ヘルパー関数(src/backend/base/langflow/helpers/flow.py)は、要求ユーザーがそれを所有しているかを検証することなく、UUIDでフローをロードする。認証済み攻撃者は/api/v1/responsesエンドポイントを呼び出し、被害者のフローIDを供給し、その結果、そのユーザーのフローの実行を可能にし、「leak api keys」のような注入されたプロンプトを通じて埋め込まれたシークレット(LLMプロバイダー APIキー、クラウド認証情報、データベース・シークレット)の抽出を可能にする。
影響を受けるシステム
Langflow < 1.9.2; langflow-base < 0.4.0
緩和策
直ちにLangflow 1.9.2およびlangflow-base 0.4.0にアップグレードする。CISAは2026年7月7日にこれをKEVカタログに追加し、連邦パッチ期限は2026年7月10日である。クロス・テナント・アクセスのワークフロー実行を監査し、Langflowフローに埋め込まれた資格情報をローテーションする。