무슨 일이 있었나
Langflow의 POST /api/v2/files 파일 업로드 엔드포인트는 multipart form data의 'filename' 파라미터를 제대로 정제하지 않아, 공격자가 ../ 경로 순회 시퀀스를 통해 호스트 파일시스템 어디든지 임의의 파일을 작성할 수 있게 한다. Langflow는 기본적으로 인증되지 않은 자동 로그인이 활성화된 상태로 배포되므로, 자격 증명이 필요하지 않으며 단 하나의 인증되지 않은 HTTP 요청으로 유효한 세션 토큰을 획득할 수 있다. VulnCheck 허니팟은 2026년 6월 8~10일부터 시작된 현실에서의 악용을 탐지했으며, 공격자들은 cron 기반 역쉘을 설치하기 전 단계로 취약한 인스턴스에 테스트 파일을 배치하고 있다. 약 7,000개의 Langflow 인스턴스가 인터넷에 공개되어 있다. Tenable은 3번의 실패한 벤더 연락 시도 후 3월 27일에 공개 공시했으며, 패치는 langflow-base 0.8.3 및 Langflow 1.10.0(2026년 6월 10일 릴리스)에 포함되었다.
왜 중요한가
Langflow는 AI 에이전트, RAG 파이프라인, MCP 기반 워크플로우를 구축하기 위한 널리 사용되는 시각적 플랫폼이다(GitHub 별 149,000+). 악용으로 인해 AI 오케스트레이션 레이어를 실행하는 호스트에서 인증되지 않은 루트 수준의 코드 실행이 가능해지므로, 공격자가 모델 API 키를 유출하거나, 에이전트 메모리/데이터를 오염시키거나, 에이전트 도구 호출을 리다이렉트하거나, AI 인프라 내에서 더 깊이 침투할 수 있다. 이것은 2026년에 적극적으로 악용된 두 번째 Langflow RCE이며, nation-state 그룹 MuddyWater는 이전에 Langflow 악용과 연관된 것으로 알려져 있다.
공격 경로
filename 파라미터에 ../ 시퀀스가 있는 /api/v2/files로 인증되지 않은 HTTP POST 요청; 자동 로그인 기본값이 자격 증명 없이 세션 토큰을 제공하므로, /etc/cron.d/ 또는 웹셸 배치를 통한 직접 파일 작성이 가능하여 RCE를 유발
영향받는 시스템
Langflow < 1.9.0 (애플리케이션), langflow-base < 0.8.3; AUTO_LOGIN이 활성화되고 공개 인터넷에 노출된 모든 버전
완화 방안
Langflow 1.10.0(langflow-base 0.8.3)으로 업그레이드하십시오. AUTO_LOGIN을 비활성화하십시오(LANGFLOW_AUTO_LOGIN=false로 설정). 포트 7860에 대한 공개 인터넷 노출을 차단하십시오. 패칭 전에 노출된 경우, 침해를 가정하고 파일시스템에서 권한이 없는 cron 작업 및 웹셸을 감시하십시오. 공시: https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/