무슨 일이 있었나
Langflow 1.9.2 이전에 /api/v1/responses 엔드포인트는 flow_id 매개변수의 소유권을 검증하지 않습니다. 인증된 공격자는 요청 본문에 피해자의 흐름 ID를 지정하여 다른 사용자에게 속한 임의의 흐름을 실행할 수 있습니다. CVSS 9.9 Critical, 2026-06-23에 게시됨.
왜 중요한가
인증된 낮은 권한 Langflow 사용자는 특권 도구 접근, 데이터베이스 연결 및 외부 API 자격 증명이 있는 관리자 소유 흐름을 포함한 다른 사용자의 AI 에이전트 워크플로우를 실행할 수 있습니다. 이는 Langflow의 전체 다중 테넌트 격리 모델을 깨뜨리고 전체 AI 프로젝트 공간 전체에서 횡행 이동을 허용합니다.
공격 경로
요청 본문의 피해자 flow_id를 사용하여 /api/v1/responses에 인증된 POST. 대상 흐름을 실행하기 전에 소유권 체크가 수행되지 않습니다.
영향받는 시스템
Langflow < 1.9.2
완화 방안
Langflow 1.9.2로 업그레이드합니다. PR 수정: https://github.com/langflow-ai/langflow/pull/12832