何が起きたか
IBM Langflow OSS バージョン 1.0.0 から 1.10.0 (コミット 94981c443d4918517b9e8163d70fc598dc33a32d まで、1.9.2 前のバージョン) には、Policies コンポーネントの ToolGuard 統合におけるコードインジェクション脆弱性が含まれており、管理者が制御されたデプロイメントでカスタム Python コンポーネントの実行を無効にするために使用する allow_custom_components=false セキュリティ制御をバイパスします。NVD はこの CVE を 2026-07-17 に CVSS 9.9 (Critical) で公開しました。
なぜ重要か
Langflow は最も広くデプロイされているオープンソース AI エージェント/ワークフロー構築プラットフォームの 1 つ (GitHub スター 145,000+) であり、積極的に悪用されている認証なし RCE (CVE-2025-3248、CVE-2026-33017 の両方が CISA KEV に追加され、公開後数時間以内にボットネットによって悪用) の記録されたHistory があります。この新しい欠陥は、管理者が正確にこのクラスのコード実行攻撃を防ぐために使用する特定のハードニング制御 (LANGFLOW_ALLOW_CUSTOM_COMPONENTS) を破り、この制御を介して以前の Langflow RCE リスクを軽減したと考えていた組織が依然として露出していることを意味します。
攻撃経路
allow_custom_components=false が設定されているにもかかわらず、Policies/ToolGuard コンポーネントの悪用によるコードの注入と実行、意図されたカスタムコンポーネント実行ブロックのバイパス
影響を受けるシステム
IBM Langflow OSS 1.0.0 から 1.10.0 (1.9.2 まで)
緩和策
1.10.0/コミット 94981c4 を超えるパッチされた Langflow OSS リリースにアップグレードしてください。IBM アドバイザリを参照してください。