何が起きたか
CVE-2026-5027 は Langflow のファイルアップロードエンドポイントに存在するパストトラバーサル脆弱性で、認証なしの攻撃者が任意のファイルをサーバーファイルシステムに書き込むことができ、RCE に至る可能性があります。The Stack が 2026-06-15T22:22:34Z に公開した記事によって積極的な悪用が確認されました(Web取得による検証:ページタイトル「Langflow instances are getting exploited – again」、メタディスクリプション「A critical vulnerability in AI toolkit Langflow, CVE-2026-5027, is getting exploited in the wild — but has yet to hit CISA's KEV」)。これは初期の Langflow RCE インシデント後の繰り返される悪用パターンです。
なぜ重要か
Langflow はマルチエージェント AI ワークフローを構築・ホストするために使用され、データストア、API、および LLM プロバイダーキーへのアクセスを持ちます。公開されているインスタンス上の非認証 RCE により、攻撃者はエージェントパイプラインを完全に制御でき、接続されたすべての認証情報とベクトルデータベースにアクセスでき、AI ワークフローデータを操作または流出させることができます。この記事では、インスタンスがパブリック IP 上に一般的にデフォルト認証のままで放置されていることが指摘されており、実質的な影響範囲が拡大しています。
攻撃経路
非認証攻撃者がファイルアップロードエンドポイント(/api/v2/files)に対してパストトラバーサルシーケンスを含む非サニタイズされた「filename」パラメータを持つ細工された multipart POST を送信し、任意のファイル(例:ウェブシェル)をファイルシステムに書き込んでリモートコード実行を実現します。
影響を受けるシステム
Langflow < 1.9.0
緩和策
Langflow 1.9.0 にパッチアップグレード;すべてのインスタンスを認証が強制される VPN またはリバースプロキシの背後に配置;パブリック IP 暴露を制限します。アドバイザリ:https://www.thestack.technology/langflow-instances-are-getting-exploited-again/