무슨 일이 있었나
Langflow의 파일 업로드 핸들러는 '../../app.py'와 같은 파일명을 허용했고 임의 위치에 파일을 작성했습니다. 이는 인증 없는 공격자가 Python 파일을 애플리케이션 디렉토리에 작성하고 실행할 수 있게 했습니다. 수정사항은 2026년 2월에 제공되었지만 많은 인스턴스가 패치되지 않은 상태로 남아 있었습니다. 2026년 6월까지 수천 개의 인스턴스에서 능동적 악용이 확인되었습니다.
왜 중요한가
Langflow 인스턴스는 OpenAI, Anthropic 및 기타 LLM 제공자를 위한 API 키, 데이터베이스 자격 증명 및 고객 데이터를 보유합니다. Langflow 인스턴스의 RCE는 공격자에게 벡터 데이터베이스, 모델 자격 증명 및 고객 대면 에이전트를 포함한 전체 RAG/에이전트 파이프라인에 접근할 수 있게 합니다.
공격 경로
파일 업로드 엔드포인트는 multipart 양식 데이터의 'filename' 매개변수를 살균하지 않습니다. 공격자는 경로 탐색 시퀀스(../)를 사용하여 애플리케이션 디렉토리의 Python 파일을 포함한 의도한 업로드 디렉토리 외부의 임의 위치에 파일을 작성할 수 있습니다. 악의적 코드가 포함된 .py 파일을 업로드한 후 HTTP 서버를 통해 접근하면 공격자가 RCE를 달성합니다.
영향받는 시스템
Langflow 1.8.4 이상; POST /api/v2/files 파일 업로드 엔드포인트
완화 방안
Langflow를 1.8.4 이후 버전으로 업그레이드합니다. 엄격한 입력 검증을 구현하고 파일 쓰기 위치를 제한합니다. 경로 탐색 페이로드를 차단하기 위해 WAF 규칙을 적용합니다.