何が起きたか
Langflow 1.9.2より前では、/api/v1/responsesエンドポイントがflow_idパラメータの所有権を検証していません。任意の認証攻撃者がリクエストボディで被害者のフロー IDを指定して、他のユーザーに属する任意のフローを実行できます。CVSS 9.9 Critical(2026-06-23公開)。
なぜ重要か
認証されたローレベルのLangflowユーザーは、他のユーザーのAIエージェントワークフロー(特権ツールアクセス、データベース接続、外部APIクレデンシャルを持つ管理者所有のフローを含む)を実行できます。これはLangflowの多テナント分離モデル全体を破壊し、AI プロジェクトスペース全体でのラテラルムーブメントを許可します。
攻撃経路
認証POST を/api/v1/responsesに被害者のflow_idをリクエストボディで実行。所有権チェックがターゲットフロー実行前に実行されません
影響を受けるシステム
Langflow < 1.9.2
緩和策
Langflow 1.9.2にアップグレードしてください。PR fix: https://github.com/langflow-ai/langflow/pull/12832