무슨 일이 있었나
IBM Langflow OSS 버전 1.0.0부터 1.10.0까지(커밋 94981c443d4918517b9e8163d70fc598dc33a32d까지, 1.9.2 이전)는 Policies 컴포넌트의 ToolGuard 통합에서 코드 주입 취약점을 포함하고 있으며, allow_custom_components=false 보안 제어를 우회합니다. 관리자는 이 제어를 사용하여 제어된 배포에서 사용자 정의 Python 컴포넌트의 실행을 비활성화합니다. NVD는 2026-07-17에 이 CVE를 CVSS 9.9 (Critical)로 발표했습니다.
왜 중요한가
Langflow은 가장 광범위하게 배포된 오픈소스 AI 에이전트/워크플로우 구축 플랫폼 중 하나이며(GitHub 스타 145,000+), 능동적으로 악용되는 인증되지 않은 RCE의 기록된 역사가 있습니다(CVE-2025-3248, CVE-2026-33017, 둘 다 CISA KEV에 추가되고 공개 후 몇 시간 내에 봇넷에 의해 악용됨). 이 새로운 결함은 관리자가 정확히 이 클래스의 코드 실행 공격을 방지하기 위해 사용하는 특정 강화 제어(LANGFLOW_ALLOW_CUSTOM_COMPONENTS)를 무효화합니다. 즉, 이 제어를 통해 이전의 Langflow RCE 위험을 완화했다고 생각한 조직들이 여전히 노출되어 있습니다.
공격 경로
allow_custom_components=false가 설정된 상태에도 불구하고 코드를 주입하고 실행하기 위해 Policies/ToolGuard 컴포넌트를 악용하여, 의도된 사용자 정의 컴포넌트 실행 차단을 우회합니다.
영향받는 시스템
IBM Langflow OSS 1.0.0부터 1.10.0까지(1.9.2까지)
완화 방안
패치된 Langflow OSS 릴리스 1.10.0/커밋 94981c4 이상으로 업그레이드하세요. IBM 권고사항을 참조하세요.