何が起きたか
Langflowの POST /api/v2/files ファイルアップロードエンドポイントは、マルチパートフォームデータの 'filename' パラメータをサニタイズできず、攻撃者が ../ パストラバーサルシーケンスを使用してホストファイルシステムの任意の場所に任意のファイルを書き込むことができます。Langflowはデフォルトで未認証の自動ログインを搭載しているため、認証情報は不要です。単一の未認証HTTPリクエストで有効なセッショントークンが得られます。VulnCheckハニーポットは2026年6月8~10日から野生での悪用を検出し、攻撃者が脆弱なインスタンスにテストファイルを配置してcronベースのリバースシェルの前置きとしています。約7,000のLangflowインスタンスがインターネット上で公開されています。Tenableは3月27日に公開開示し、ベンダー連絡を3回失敗した後、パッチはlangflow-base 0.8.3とLangflow 1.10.0(2026年6月10日リリース)に登場しました。
なぜ重要か
Langflowは、AIエージェント、RAGパイプライン、MCPベースのワークフロー(149,000以上のGitHubスター)を構築するための広く使用されているビジュアルプラットフォームです。悪用は、AIオーケストレーションレイヤーを実行しているホストに対する未認証のルートレベルコード実行を付与し、攻撃者がモデルAPIキーを流出させたり、エージェントメモリ/データに毒を入れたり、エージェントツール呼び出しをリダイレクトしたり、AI インフラストラクチャにより深く侵入したりできます。これは2026年に積極的に悪用されている2番目のLangflow RCEであり、国家レベルの脅威グループ MuddyWater は以前にLangflow の悪用に関連付けられています。
攻撃経路
/api/v2/files への未認証HTTP POSTとfilenameパラメータの ../ シーケンス。自動ログインデフォルトは認証情報なしでセッショントークンを提供し、/etc/cron.d/ への直接ファイル書き込みまたはRCE用のWebシェル配置を有効にします。
影響を受けるシステム
Langflow < 1.9.0(アプリケーション)、langflow-base < 0.8.3。AUTO_LOGIN が有効になっており、インターネットに公開されているすべてのバージョン。
緩和策
Langflow 1.10.0(langflow-base 0.8.3)にアップグレードしてください。AUTO_LOGIN を無効にしてください(LANGFLOW_AUTO_LOGIN=falseを設定)。ポート7860への公開インターネット露出をブロックしてください。パッチ前に露出していた場合、侵害を想定し、ファイルシステムで不正なcronジョブとWebシェルを監査してください。通知:https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/