취약점  ·  2026-07-02

IBM Langflow OSS — 약한 암호화 키 유도로 저장된 모든 자격증명 노출 (LLM API 키, DB 비밀번호)

취약점High 영향도GlobalCVE-2026-7874
IBM의 보안 공지(2026-06-29 날짜)는 Langflow의 자격증명 암호화가 비암호화 PRNG인 Python의 Mersenne Twister PRNG를 사용하며 SECRET_KEY로 시드되어 저장 중 자격증명 암호화를 위한 Fernet 대칭 키를 유도했음을 확인합니다. 이는 SECRET_KEY를 획득한 모든 공격자가 무차별 대입 공격 없이 저장된 모든 자격증명을 오프라인에서 해독할 수 있습니다. 이 결함은 MCP 엔드포인트의 경로 순회와 연결되어 먼저 SECRET_KEY를 유출한 후 모든 자격증명을 해독할 수 있습니다.
Langflow는 모든 LLM 공급자(OpenAI, Anthropic 등) 및 다운스트림 데이터베이스의 자격증명을 저장하는 중앙 AI 오케스트레이션 허브입니다. 손상되면 공격자는 플랫폼과 통합된 모든 AI 서비스의 키에 접근할 수 있습니다. IBM은 이를 CVSS 9.1 Critical로 평가했습니다. IONIX는 인증되지 않은 원격 공격자가 이를 악용하여 저장된 모든 자격증명을 완전히 공개할 수 있음을 확인했습니다.
Langflow는 SECRET_KEY로 시드된 Python의 비암호화 Mersenne Twister PRNG를 사용하여 Fernet 암호화 키를 유도했습니다. SECRET_KEY < 32자일 때 유도된 키는 완전히 결정적이고, 더 긴 키의 경우에도 원본 SECRET_KEY가 Fernet 키로 직접 사용되어 secret_key 파일을 획득한 후(예: 함께 제공되는 MCP 경로 순회 CVE를 통해) 오프라인 해독이 간단해집니다.
IBM Langflow OSS 1.0.0 – 1.10.0
Langflow 1.10.1로 업그레이드하세요. 즉시 이전에 저장된 모든 자격증명(LLM API 키, DB 비밀번호, OAuth 토큰)을 회전하세요. IBM 공지: https://www.ibm.com/support/pages/node/7278447
출처
IBM Security Bulletin — Weak Cryptographic Key Derivation (CVE-2026-7874)IONIX Threat Center — CVE-2026-7874
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →