何が起きたか
Langflowのファイルアップロードエンドポイントは「filename」パラメータをサニタイズしておらず、パストラバーサルにより任意のロケーションにファイルを書き込むことが可能です。VulnCheckは2026年6月9日の野生での実際の悪用を確認しました。Hacker Newsは2026年6月10日の悪用を報告しました。2ヶ月以上前(4月15日)からパッチが利用可能にもかかわらず、パッチを当てていない導入に対する大規模な悪用が続いています。
なぜ重要か
Langflowはエージェント、RAGパイプライン、MCPベースのワークフローを構築するための主要なプラットフォームです。認証なしRCEにより、攻撃者はLangflowプロセスのコンテキストで完全なコード実行を取得し、エージェントソースコード、API統合、RAGベクトルストア認証情報、およびツール定義を公開できます。攻撃者はプラットフォームに悪意のあるエージェントまたはワークフローを注入できます。
攻撃経路
認証なし攻撃者は、/api/v2/files へのPOSTリクエストを、ディレクトリトラバーサルシーケンス(../)を含むサニタイズされていない「filename」パラメータで送信し、任意のファイルシステムロケーションにファイルを書き込み、実行ファイル配置を介してRCEを達成します。
影響を受けるシステム
1.9.0(2026年4月15日リリース)より前のLangflowバージョン
緩和策
Langflowをバージョン1.9.0以降に更新してください。公開されたインスタンスをコンプロミスの証拠について監査してください。