概要

Critical Langflow Flaw CVE-2026-33017は、公開からわずか20時間以内に攻撃を受けた。この脆弱性は、認証が欠如している場合のコードインジェクションであり、リモートコード実行につながる可能性がある。

詳細

CVE-2026-33017（CVSSスコア：9.3）は、LangflowのPOST /api/v1/build_public_tmp/{flow_id}/flowエンドポイントに存在する。このエンドポイントは認証なしでパブリックフローを構築できるが、オプションのデータパラメータが供給された場合、攻撃者が制御したフローデータ（ノード定義に任意のPythonコードを含む）を使用する。このコードはsandboxingなしでexec()に渡され、結果として未認証リモートコード実行につながる。

影響範囲

この脆弱性は、開発版1.9.0.dev8を除くすべてのバージョンのオープンソースAIプラットフォームに影響を与える。セキュリティ研究者のAviral Srivastava氏が2月26日に発見し報告した。

攻撃の詳細

CVE-2026-33017は、CVE-2025-3248と同様にexec()コールを使用している。このエンドポイントは認証なしで設計されており、パブリックフロー機能を壊さないようにするためにはデータパラメータを完全に削除することが必要である。

対策

• 最新の修正版へのアップデート
• 公開されているLangflowインスタンスでの環境変数とシークレットの監査
• キーとデータベースパスワードの更新
• 異常なコールバックサービスとの接続をモニタリング
• ファイアウォールルールまたはリバースプロキシを使用したネットワークアクセス制限

結論

CVE-2026-33017は、AIワークロードが攻撃者の標的となっていることを示している。この脆弱性は公開後すぐに武器化され、多くの組織がパッチを適用する前に攻撃を受けている。

元記事: https://thehackernews.com/2026/03/critical-langflow-flaw-cve-2026-33017.html