何が起きたか
langflow-ai/langflow バージョン1.9.3までの脆弱性により、Bundle URL Loaderコンポーネント経由のコード注入が可能です。攻撃にはローカルアクセスが必要です。ベンダーは責任ある開示に応じませんでした。CVSS 5.3 Medium; 公開日2026-06-22。GitHubでPoC記事が利用可能です。
なぜ重要か
Langflowは広く展開されているビジュアルLLMワークフロービルダーです。Bundle URL Loaderはスタートアップ時にカスタムコンポーネントをロードするために使用されます。ここでのコード注入は、悪意あるBundle URL(例:共有Langflow設定またはフローファイルに埋め込まれたもの)がLangflowプロセスのスタートアップ時に任意のコードを実行でき、AI パイプライン全体と環境にロードされた認証情報またはAPIキーを危険にさらす可能性があることを意味します。
攻撃経路
ローカル攻撃者(またはLangflow設定に影響を与えることができるリモート攻撃者)が悪意あるBundle URLをBundle URL Loaderに提供し、スタートアップ時のコード注入を達成します。
影響を受けるシステム
langflow-ai/langflow ≤ 1.9.3
緩和策
Langflowを1.9.3以降のバージョンにアップグレードしてください。NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-12822; PoC: https://github.com/dxz0069/softwareoverflow/blob/main/langflow_bundle_url_custom_component_startup_rce_vulndb.md