何が起きたか
Langflowの POST /api/v2/files ファイルアップロードエンドポイントは、マルチパートフォームデータの 'filename' パラメータをサニタイズできず、攻撃者が ../ パストラバーサルシーケンスを介してホストファイルシステム上の任意の場所に任意のファイルを書き込むことを許可しています。Langflowはデフォルトで認証なしの自動ログインを搭載して出荷されているため、認証情報は不要です — 単一の認証なしHTTPリクエストで有効なセッショントークンが取得できます。VulnCheckハニーポットは2026年6月8〜10日に開始された野外での悪用を検出し、攻撃者は脆弱なインスタンスにテストファイルをドロップして、cronベースのリバースシェルの前触れとしていました。約7,000のLangflowインスタンスがインターネット上に公開されています。Tenableは3回の失敗したベンダー連絡後の3月27日に公開開示を行い、パッチはlangflow-base 0.8.3とLangflow 1.10.0 (2026年6月10日リリース)で提供されました。
なぜ重要か
Langflowは、AIエージェント、RAGパイプライン、MCPベースのワークフローを構築するための広く使用されているビジュアルプラットフォームです (GitHub スター 149,000+)。悪用により、AI オーケストレーションレイヤーを実行しているホスト上の認証なしのルートレベルコード実行が可能になり、攻撃者はモデルAPIキーを流出させたり、エージェントメモリ/データを汚染したり、エージェントツール呼び出しをリダイレクトしたり、AI インフラストラクチャへのピボットを深くしたりできます。これは2026年に積極的に悪用されている2番目のLangflow RCEであり、国家主体グループMuddyWaterはLangflowの悪用との関連性が以前から指摘されています。
攻撃経路
/api/v2/filesへの認証なしHTTP POSTで、filenameパラメータに ../ シーケンスを含む。自動ログインデフォルトは認証情報なしでセッショントークンを提供し、/etc/cron.d/への直接ファイル書き込みまたはRCEのためのウェブシェル配置を可能にします
影響を受けるシステム
Langflow < 1.9.0 (アプリケーション)、langflow-base < 0.8.3。AUTO_LOGINが有効で、パブリックインターネット露出のある全バージョン
緩和策
Langflow 1.10.0 (langflow-base 0.8.3) にアップグレードしてください。AUTO_LOGIN を無効にしてください (LANGFLOW_AUTO_LOGIN=false に設定)。ポート7860へのパブリックインターネット露出をブロックしてください。パッチ適用前に露出していた場合は、侵害されたと想定し、許可されていないcronジョブとウェブシェルについてファイルシステムを監査してください。アドバイザリ: https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/