何が起きたか
CVE-2026-5027は、Langflowのファイルアップロードエンドポイントにおけるパストラバーサル脆弱性です。認証なしの攻撃者が任意のファイルをサーバーファイルシステムに書き込むことができ、RCEに至ります。The Stackが2026-06-15T22:22:34Zに公開した記事で積極的な悪用が確認されました(web_fetch経由で確認: ページタイトル『Langflowインスタンスが再び悪用されている』、メタディスクリプション『AI ツールキットLangflowの重大な脆弱性CVE-2026-5027が野生で悪用されている――しかしCISAのKEVにはまだ掲載されていない』)。これは以前のLangflow RCEインシデントに続く再利用されたパターンです。
なぜ重要か
Langflowは、データストア、API、LLMプロバイダーキーへのアクセスを持つマルチエージェントAIワークフローの構築とホストに使用されます。公開されたインスタンスに対する認証なしRCEにより、攻撃者はエージェントパイプラインの完全な制御、接続されたすべての認証情報とベクトルデータベースへのアクセス、AIワークフロータのデータ操作または流出を行う能力を得ます。記事は、インスタンスが一般にデフォルト認証でパブリックIPに放置されていることを指摘しており、実効的な被害範囲を広げています。
攻撃経路
認証なし攻撃者は、パストラバーサルシーケンスを含むサニタイズされていない'filename'パラメータを備えた細工されたマルチパートPOSTをファイルアップロードエンドポイント(/api/v2/files)に送信し、任意のファイル(例:Webシェル)をファイルシステムに書き込んで、リモートコード実行を達成します。
影響を受けるシステム
Langflow < 1.9.0
緩和策
Langflow 1.9.0にパッチを適用してください。すべてのインスタンスをVPNまたは認証が強制されたリバースプロキシの背後に配置してください。パブリックIP公開を制限してください。注意報: https://www.thestack.technology/langflow-instances-are-getting-exploited-again/