취약점  ·  2026-07-09

Langflow 인증 우회 (IDOR) — CISA KEV에 추가, 크로스 테넌트 자격증명 수집을 위해 적극적으로 악용됨

취약점High 영향도GlobalCVE-2026-55255
CISA는 2026년 7월 7일에 Langflow 인증 우회 취약점인 CVE-2026-55255 (CWE-639, 사용자 제어 키)를 알려진 악용 취약점(Known Exploited Vulnerabilities) 카탈로그에 추가하여 적극적인 악용을 확인했습니다. 이 결함을 통해 인증된 공격자는 피해자의 플로우 ID를 제공하여 다른 사용자의 플로우를 실행할 수 있으며, 플로우에 포함된 시크릿과 클라우드 자격증명을 노출시킵니다.
이는 AI 에이전트 오케스트레이션/워크플로우 플랫폼이 CISA KEV 카탈로그에 처음 등재된 것이며, Langflow 배포가 자격증명 수집 및 연결된 클라우드/LLM 제공자 계정으로의 횡적 이동을 목표로 적극적으로 악용되고 있다는 것을 확인시켜줍니다 — AI 개발 인프라에 대한 직접적이고 운영상 확인된 위협입니다.
인증된 공격자는 /api/v1/responses (또는 유사한 엔드포인트)에 대한 요청에서 피해자의 플로우 UUID를 지정하여 다른 사용자의 플로우를 실행하고, 해당 플로우 내에 저장된 포함된 API 키, 클라우드 자격증명, LLM 시크릿을 수집합니다 — 사용자 제어 키를 통한 안전하지 않은 직접 객체 참조입니다.
Langflow (/api/v1/responses IDOR을 포함하는 패치 이전의 모든 버전)
Langflow 벤더 패치 적용 (GHSA-qrpv-q767-xqq2 참조); CISA BOD 26-04에 따라 연방 기관은 2026-07-10까지 완화 필수; 노출된 Langflow 플로우에 이전에 저장된 모든 자격증명을 교체합니다.
CISA KEV CatalogBleepingComputer - CISA orders feds to prioritize patching Langflow auth bypass flawThe Hacker News - CISA Adds 4 Actively Exploited Adobe, Joomla, and Langflow Flaws to KEV
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →