何が起きたか
Langflow 1.9.2より前では、BaseFileComponentに基づくすべてのコンポーネント(RAG/知識ベースフローで使用)がサニタイズなしに絶対ファイルパスを受け入れます。RAGパイプラインに取り込まれたファイルを制御する攻撃者は、サーバーファイルシステムの任意のファイルへの絶対パスを提供でき、ノードがこれを読取りおよび露出させるおそれがあります。CVSS 9.6 Critical(2026-06-23公開)。
なぜ重要か
これはLangflow自体のRAGパイプラインをそれに対して武装化します。ファイル入力に影響を与える攻撃者(例えば共有または公開フロー経由、またはCVE-2026-55255のIDOR経由)は、/etc/shadow、SSHキー、LLM APIキーを含む.envファイル、モデルクレデンシャルを含む任意のサーバーファイルをAIパイプラインの通常の出力チャネルを通じて流出させることができます。
攻撃経路
絶対ファイルシステムパス(例えば/etc/passwd)をLangflowフロー内の任意のBaseFileComponentから派生したRAGノードへのファイル入力として提供。ノードがファイルを読取りおよび処理し、フロー出力を通じてコンテンツを漏らします
影響を受けるシステム
Langflow < 1.9.2
緩和策
Langflow 1.9.2にアップグレードしてください。PR fix: https://github.com/langflow-ai/langflow/pull/12945