무슨 일이 있었나
Langflow의 POST /api/v2/files 파일 업로드 엔드포인트가 멀티파트 양식 데이터의 'filename' 매개변수를 제대로 검증하지 않아, 공격자가 ../ 경로 순회 시퀀스를 통해 호스트 파일 시스템의 임의 위치에 파일을 작성할 수 있습니다. Langflow는 기본적으로 인증 없는 자동 로그인이 활성화된 상태로 배포되므로 자격증명이 필요하지 않습니다. 단 하나의 인증 없는 HTTP 요청으로 유효한 세션 토큰을 얻을 수 있습니다. VulnCheck 허니팟은 2026년 6월 8-10일부터 야생에서의 악용을 감지했으며, 공격자들은 크론 기반 역셸의 전초작업으로 취약한 인스턴스에 테스트 파일을 드롭했습니다. 약 7,000개의 Langflow 인스턴스가 인터넷에 공개되어 있습니다. Tenable은 세 번의 실패한 벤더 접촉 시도 후 3월 27일에 공개 공개했으며, 패치는 langflow-base 0.8.3과 Langflow 1.10.0에 적용되었습니다 (2026년 6월 10일 릴리스).
왜 중요한가
Langflow는 AI 에이전트, RAG 파이프라인, MCP 기반 워크플로우를 구축하기 위한 광범위하게 사용되는 시각적 플랫폼입니다 (GitHub 별 149,000개 이상). 악용은 AI 오케스트레이션 계층을 실행하는 호스트에서 인증 없는 루트 수준 코드 실행을 부여하므로, 공격자는 모델 API 키를 유출하거나 에이전트 메모리/데이터를 오염시키거나 에이전트 도구 호출을 리디렉션하거나 AI 인프라로 더 깊게 침투할 수 있습니다. 이는 2026년에 적극적으로 악용되는 두 번째 Langflow RCE이며, 국가 지원 그룹 MuddyWater는 이전에 Langflow 악용과 연결되어 있습니다.
공격 경로
filename 매개변수에 ../ 시퀀스를 포함한 /api/v2/files에 대한 인증 없는 HTTP POST; 자동 로그인 기본값은 자격증명 없이 세션 토큰을 제공하므로 /etc/cron.d/에 직접 파일 작성 또는 RCE를 위한 웹셸 배치를 가능하게 합니다
영향받는 시스템
Langflow < 1.9.0 (애플리케이션), langflow-base < 0.8.3; AUTO_LOGIN이 활성화되고 공개 인터넷에 노출된 모든 버전
완화 방안
Langflow 1.10.0 (langflow-base 0.8.3)으로 업그레이드하십시오. AUTO_LOGIN을 비활성화하십시오 (LANGFLOW_AUTO_LOGIN=false 설정). 포트 7860에 대한 공개 인터넷 노출을 차단하십시오. 패치 적용 전에 노출된 경우 손상으로 가정하고 권한이 없는 크론 작업 및 웹셸에 대해 파일 시스템을 감사하십시오. 공지: https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/