概要
AIを活用したエージェントやワークフローの構築・デプロイを支援するツール「Langflow」において、リモートコード実行(RCE)につながる脆弱性(CVE-2026-27966)が報告されました。
この脆弱性は、LangflowのCSV Agentノードがallow_dangerous_code=Trueという設定をハードコードしていることに起因します。これにより、LangChainのPython REPLツール(python_repl_ast)が自動的に公開される状態となっていました。結果として、攻撃者はプロンプトインジェクションの手法を用いることで、サーバー上で任意のPythonコードやOSコマンドを実行できる可能性があり、最終的に完全なリモートコード実行(RCE)につながる恐れがあります。
影響範囲
この脆弱性の影響を受けるのは、以下の製品およびバージョンです。
- 製品: Langflow
- 影響を受けるバージョン: バージョン1.8.0未満
バージョン1.8.0でこの問題は修正されています。
想定される影響
本脆弱性が悪用された場合、以下のような深刻な影響が想定されます。
- 攻撃者によって、Langflowが動作するサーバー上で任意のPythonコードやOSコマンドが実行される可能性があります。
- これにより、サーバーの制御が奪われたり、機密情報の窃取、データの改ざん、システムの破壊、サービス停止など、広範な被害が発生する恐れがあります。
- システムへの不正アクセスや、さらなる攻撃の足がかりとして利用される可能性も考えられます。
攻撃成立条件・悪用状況
攻撃が成立するためには、LangflowのCSV Agentノードに対してプロンプトインジェクションが可能な状況にあることが条件となります。
現時点では、この脆弱性の具体的な悪用状況については不明と報告されています。
推奨対策
最優先で実施すべき対策
- Langflowのアップデート: 最も重要な対策は、Langflowを速やかにバージョン1.8.0以降にアップデートすることです。これにより、本脆弱性は修正されます。
中長期的な対策
- 入力検証の強化: AIエージェントへの入力データに対して、厳格な検証とサニタイズ処理を導入し、プロンプトインジェクションのリスクを低減することを検討してください。
- 最小権限の原則: Langflowが動作する環境やプロセスに対し、必要最小限の権限のみを付与する「最小権限の原則」を徹底してください。万が一脆弱性が悪用された場合でも、被害範囲を限定するのに役立ちます。
- セキュリティ監視の強化: Langflowが稼働するサーバーやネットワークにおける不審な挙動やアクセスがないか、ログ監視を強化し、異常を早期に検知できる体制を構築してください。
一時的な緩和策
- LangflowのCSV Agentノードの使用を一時的に停止するか、外部からのアクセスを厳しく制限することを検討してください。ただし、これは根本的な解決策ではないため、速やかなアップデートが最も推奨されます。
確認方法
ご使用中のLangflowのバージョンを確認し、バージョン1.8.0未満である場合は、本脆弱性の影響を受ける可能性があります。