무슨 일이 있었나
Langflow 1.9.1 이전 버전에서 인증되지 않은 사용자는 파일 업로드 엔드포인트를 통해 크기 또는 속도 제한 없이 서버에 무제한 데이터를 업로드할 수 있습니다. 이는 서버의 디스크 공간을 소진하여 모든 사용자에 대해 Langflow를 무한정 사용할 수 없게 렌더링합니다. CVSS 9.3 Critical, 발행일 2026-06-23.
왜 중요한가
프로덕션 AI 워크플로우 플랫폼에 대한 인증 없는 DoS 공격으로 인스턴스의 모든 실행 중인 에이전트 파이프라인 및 AI 배포가 중단됩니다. 공격자는 여러 팀에서 사용하는 공유 Langflow 인프라를 간단히 다운시킬 수 있으며, 이는 Langflow 플로우에 의존하는 자동화된 AI 프로세스에서 연쇄 장애를 야기합니다.
공격 경로
Langflow의 업로드 엔드포인트에 대한 대용량 파일을 사용한 인증되지 않은 반복 파일 업로드 요청; 서버 측 크기 제한 또는 인증 확인이 없어 디스크 공간 소진
영향받는 시스템
Langflow < 1.9.1
완화 방안
Langflow 1.9.1로 업그레이드하세요. PR 수정: https://github.com/langflow-ai/langflow/pull/12831