무슨 일이 있었나
Langflow 1.9.2 이전 버전에서 '공유 가능한 플레이그라운드' (공개 흐름) 기능은 공개 흐름의 ID를 사용하여 /api/v1/run/{flow_id}/public을 호출함으로써 인증되지 않은 사용자가 워크플로우를 실행할 수 있습니다. 흐름에는 임의의 Python 코드 실행 노드(예: Python Code 구성 요소)가 포함될 수 있으므로, 이러한 흐름을 트리거하는 인증되지 않은 인터넷 접근 가능한 요청은 서버에서 원격 코드 실행을 달성합니다. NVD 시드는 CVSS 9.6 Critical을 확인하며, 2026-06-23에 게시되었습니다.
왜 중요한가
Langflow는 프로덕션 AI 에이전트 파이프라인을 구축하기 위해 광범위하게 배포됩니다. 공유된 흐름이 있는 공개 배치 Langflow 인스턴스는 자격 증명 없이 즉시 RCE에 대해 악용 가능합니다 — 공격자는 모델 시크릿, API 키, 학습 데이터를 유출하고 기반 AI 인프라로 피벗할 수 있습니다. VentureBeat는 동일한 공개 윈도우에서 약 7,000개의 Langflow 서버가 적극적으로 공격받고 있음을 확인했습니다.
공격 경로
/api/v1/run/{flow_id}/public에 대한 인증되지 않은 HTTP POST는 임의의 Python 코드 구성 요소를 포함하여 공격자의 영향을 받는 흐름 노드의 실행을 트리거합니다.
영향받는 시스템
Langflow < 1.9.2
완화 방안
Langflow 1.9.2+로 업그레이드합니다. 즉시 업그레이드가 불가능한 경우 공개/공유 흐름을 비활성화합니다. 권고: https://github.com/langflow-ai/langflow/security/advisories/GHSA-v5ff-9q35-q26f