何が起きたか
Langflowのファイルアップロードエンドポイントは「filename」パラメータをサニタイズできず、攻撃者が任意のファイルシステム上の場所にファイルを書き込むことを許可しています。デフォルトの自動ログイン機能により認証要件が廃止されます。任意ファイル書き込みは設定/スタートアップファイルの上書きによりRCEにエスカレート可能です。
なぜ重要か
Langflowはエージェント構築とRAGパイプラインのためのローコードプラットフォームであり、多くのAIオーケストレーション展開の中核です。認証なしユーザーとしてのRCEは、接続されたすべてのAPIキー、ベクトルDBの認証情報、およびモデルエンドポイントを公開します。VulnCheckによって2026年6月9日に能動的な悪用が確認されました。今年3番目のLangflow RCEです。
攻撃経路
POST /api/v2/filesエンドポイント(パストトラバーサルシーケンス(../)をサニタイズされていない「filename」パラメータに含む)。自動ログインのデフォルト動作と組み合わせると、cron/スタートアップファイル注入経由の認証なしRCEが可能になります
影響を受けるシステム
Langflow ≤ 1.8.4(1.9.0で修正、2026年4月15日リリース)
緩和策
Langflow 1.9.0以降にアップグレード。自動ログインを無効化。VPN/リバースプロキシ経由のネットワークアクセスを制限。可能な限り書き込み権限を無効化。