何が起きたか
IBM Langflow OSS 1.0.0 から 1.10.1 には、パブリック フロー ビルド エンドポイント (/api/v1/build_public_tmp/{flow_id}/flow) における認証なしリモート コード実行脆弱性が含まれています。脆弱性は validate_public_flow_no_code_execution() 関数の不完全なデニーリストに起因し、エンドポイント (以前は積極的に悪用されていた KEV リスト CVE-2026-33017 のターゲット) が特定の攻撃者が提供するコード パターンが認証なしで exec() に到達することを許可する可能性があることを意味します。2026-07-17 に NVD に公開、CVSS 8.1 (High)。
なぜ重要か
このエンドポイント クラスは CVE-2026-33017 の対象でした。CISA は公開から 20 時間以内に攻撃者がアドバイザリを武器化し、LLM プロバイダー API キー、AWS/クラウド認証情報を収集し、侵害されたインスタンスにドロッパーをデプロイした後、KEV に追加しました。修正のデニーリストが不完全であるため、同じ認証なし RCE クラスは LLM プロバイダー API、内部データベース、およびクラウド アカウントに直接統合されたプラットフォーム上で、AI エージェント デプロイメント の膨大な母集団全体に存在します。
攻撃経路
validate_public_flow_no_code_execution() デニーリストを回避するコードを含む作成されたフロー データを使用した /api/v1/build_public_tmp/{flow_id}/flow への認証なし POST、サンドボックスなし exec() に到達
影響を受けるシステム
IBM Langflow OSS 1.0.0 から 1.10.1
緩和策
1.10.1 を超える IBM の修正を適用してください。可能な限りパブリック フロー エクスポーズを制限/削除してください。IBM サポート ブレティンを参照してください。