何が起きたか
IBM は、ファイル API 経由でアップロードされた MCP サーバー構成ファイルの検証実装が不完全であることが原因の、Langflow における高深刻度 (CVSS 8.8) の RCE を開示しました。これにより、通常の MCP 構成 API パスに適用される検証をバイパスしています。
なぜ重要か
MCP サーバー構成は、AI エージェントのランタイムが実行できるコマンド/ツールを制御します。このバイパスにより、認証済みの攻撃者が Langflow プロセスの権限で任意のコマンドを実行する悪意のある MCP サーバー定義を仕込むことができ、エージェントのオーケストレーションとツール実行の間のコア信頼境界を損なわせます。
攻撃経路
File Manager API の upload_user_file() 関数は _mcp_servers_<user_id>.json という名前のファイルを特別に処理しますが、構造化 MCP API エンドポイントが使用する MCPServerConfig 検証を呼び出しません。攻撃者は危険な環境変数/コマンド引数を含む細工された MCP 構成ファイルをアップロードし、その後 get_server_list() 経由でサーバーが列挙されると、構成は JSON として解析され (再検証なし)、MCPStdioClient._connect_to_server() 経由で実行され、攻撃者が制御するコマンド/環境が実行されます。
影響を受けるシステム
IBM Langflow OSS 1.0.0~1.10.0
緩和策
IBM は検証ギャップをパッチし、サポートページ node/7278932 のセキュリティ速報を参照してください。Langflow をアップグレードし、以前アップロードされた MCP 構成ファイルを監査してください。