何が起きたか
Langflow 1.9.2より前では、「Shareable Playground」(Public Flows)機能により、未認証ユーザーが/api/v1/run/{flow_id}/publicを呼び出して公開フローのIDで ワークフローを実行できます。フローには任意のPythonコード実行ノード(例:Python Codeコンポーネント)を含めることができるため、そのようなフローをトリガーする未認証のインターネットアクセス可能なリクエストはサーバー上でリモートコード実行を達成します。NVDシードはCVSS 9.6 Critical(2026-06-23公開)を確認しています。
なぜ重要か
Langflowは本番環境のAIエージェントパイプライン構築向けに広く展開されています。公開フロー共有を持つ公開顔のLangflowインスタンスは、認証情報なしでRCEを即座に悪用可能になります。攻撃者はモデルシークレット、APIキー、トレーニングデータを流出させ、基盤となるAIインフラストラクチャにピボットできます。VentureBeatは同じ開示期間に約7,000のLangflowサーバーが積極的に攻撃対象になっていたことを確認しました。
攻撃経路
未認証HTTPPOSTを/api/v1/run/{flow_id}/publicに実行すると、任意のPythonコードコンポーネントを含む攻撃者の影響を受けたフローノードが実行されます
影響を受けるシステム
Langflow < 1.9.2
緩和策
Langflow 1.9.2以降にアップグレードしてください。アップグレードがすぐに不可能な場合は、公開/共有フローを無効化してください。Advisory: https://github.com/langflow-ai/langflow/security/advisories/GHSA-v5ff-9q35-q26f