무슨 일이 있었나
Langflow 1.9.2 이전에 BaseFileComponent 기반의 모든 구성 요소(RAG/지식 기반 흐름에서 사용됨)는 살균 없이 절대 파일 경로를 수용합니다. RAG 파이프라인에 수집된 파일을 제어하는 공격자는 서버 파일 시스템의 모든 파일에 절대 경로를 제공하여 노드가 이를 읽고 노출할 수 있습니다. CVSS 9.6 Critical, 2026-06-23에 게시됨.
왜 중요한가
이는 Langflow의 자체 RAG 파이프라인을 자체에 대해 무기화합니다 — 파일 입력에 영향을 미칠 수 있는 공격자(예: 공유 또는 공개 흐름을 통해, 또는 IDOR per CVE-2026-55255)는 /etc/shadow, SSH 키, LLM API 키를 포함한 .env 파일 및 모델 자격 증명을 포함한 임의의 서버 파일을 AI 파이프라인의 정상 출력 채널을 통해 유출할 수 있습니다.
공격 경로
절대 파일 시스템 경로(예: /etc/passwd)를 Langflow 흐름의 모든 BaseFileComponent 파생 RAG 노드에 파일 입력으로 제공합니다. 노드는 파일을 읽고 처리하며 흐름 출력을 통해 내용을 유출합니다.
영향받는 시스템
Langflow < 1.9.2
완화 방안
Langflow 1.9.2로 업그레이드합니다. PR 수정: https://github.com/langflow-ai/langflow/pull/12945