何が起きたか
IBM Langflow OSS バージョン1.0.0~1.8.4は、Streamable MCPトランスポートエンドポイント内の認可実施の不適切さにより、認証されていない攻撃者が保護されたMCPプロジェクトリソースへアクセスし、MCP操作を実行することを許可します(CWE-287: 認証不適切)。CVSS 3.1ベクトルはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hです。IBMは2026年6月21日に文書を公開し、CVEレコードは2026年6月22日に公開されました。
なぜ重要か
Langflowは広く展開されている視覚的なLLM/エージェントワークフロービルダーです。ネットワークアクセスを持つ認証されていない攻撃者は、コード実行およびデータ取得ツールを含むMCPツールを資格情報なしで呼び出すことができ、サーバー上で実行されているAIワークフローの完全な侵害を可能にします。IBMは回避策が存在しないと述べており、即座のアップグレードが必要です。
攻撃経路
Streamable MCPトランスポートエンドポイントへのリモート認証不要なHTTPリクエスト。資格情報またはユーザーインタラクションは不要です。
影響を受けるシステム
Langflow OSS 1.0.0~1.8.4
緩和策
Langflow OSS 1.9.1にアップグレードしてください。回避策は利用できません。IBMアドバイザリ:https://www.ibm.com/support/pages/node/7277243