何が起きたか
Langflow のファイルアップロードハンドラーは '../../app.py' のようなファイル名を受け入れ、ファイルを任意の場所に書き込みました。これにより、認証なしの攻撃者は Python ファイルをアプリケーションディレクトリに書き込んで実行できました。修正は 2026 年 2 月に利用可能でしたが、多くのインスタンスはパッチされていないままでした。2026 年 6 月までに、数千のインスタンス全体でアクティブな悪用が確認されました。
なぜ重要か
Langflow インスタンスは OpenAI、Anthropic、および他の LLM プロバイダーの API キー、データベース認証情報、および顧客データを保持します。Langflow インスタンス上の RCE は、攻撃者にベクターデータベース、モデル認証情報、および顧客向けエージェントを含む、エンタイア RAG/エージェントパイプラインへのアクセスを提供します。
攻撃経路
ファイルアップロードエンドポイントは、マルチパートフォームデータ内の 'filename' パラメータをサニタイズしません。攻撃者はパストラバーサルシーケンス (../) を使用して、アプリケーションディレクトリ内の Python ファイルなど、意図されたアップロードディレクトリの外の場所に任意のファイルを書き込むことができます。悪意のあるコードを含む .py ファイルをアップロードして、HTTP サーバー経由でそれにアクセスすることで、攻撃者は RCE を実現します。
影響を受けるシステム
Langflow 1.8.4 以前; POST /api/v2/files ファイルアップロードエンドポイント
緩和策
Langflow を 1.8.4 以降のバージョンにアップグレードしてください。厳密な入力検証を実装し、ファイル書き込み場所を制限してください。パストラバーサルペイロードをブロックするための WAF ルールを適用してください。