何が起きたか
CVE-2026-5027 は Langflow のファイルアップロードエンドポイントにおける CVSS 8.8 パストラバーサル脆弱性で、不適切なファイル名検証により、認証なしの攻撃者が任意のファイルを書き込むことができます。脆弱性は 2026 年 4 月 15 日にパッチされましたが、積極的な悪用は 2026 年 6 月に開始され (~2 ヶ月後)、VulnCheck が 6 月 8 日~9 日の野生での攻撃を確認しました。約 7,000 の Langflow インスタンスが公開されたままで、パッチされていない状態が残っています。
なぜ重要か
Langflow は AI エージェント、RAG パイプライン、および MCP ワークフロー構築用の広く展開されているローコードプラットフォームです。デフォルト自動ログイン構成により、脆弱なインスタンスは悪用に認証情報が必要ありません。単一の認証なし POST リクエストで、cron ジョブ、シェル初期化スクリプト、またはアプリケーションコードを含む任意のファイルを削除でき、システム全体の侵害につながります。パッチされていないインスタンスはパッチリリース後 2 ヶ月以上オープンのままであり、AI エコシステムでのパッチ採用の遅さを示しています。
攻撃経路
認証なしの攻撃者は /api/v2/files エンドポイントに対して、パストラバーサルシーケンス (../) および任意のペイロードを含む作成されたファイル名パラメータを含む POST リクエストを送信し、Langflow のデフォルト自動ログインが即座アクセスを許可し、攻撃者は任意の場所 (例:/etc/cron.d/、アプリケーションディレクトリ) にファイルを書き込み、次の cron 実行またはアプリケーション再読み込み時に RCE にエスカレートします
影響を受けるシステム
Langflow ≤ 1.8.4、1.9.0 (2026 年 4 月 15 日リリース) で修正
緩和策
すぐに Langflow 1.9.0 以降にアップグレードし、デフォルトで自動ログインを無効にし、Langflow インスタンスへのネットワークアクセスを制限し、ファイル名パラメータを検証およびサニタイズします