Critical Vulnerability Exposes Langflow Servers to Full Compromise
2025/04/11 SecurityOnline — エージェント型 AI ワークフロー構築ツールとして、人気を博す Langflow に新たに発見された脆弱性により、重大なセキュリティ・リスクが生じると懸念されている。この脆弱性 CVE-2025-3248 は、未認証のリモート攻撃者により容易に悪用され、Langflow サーバの完全な侵害を引き起こす可能性があるという。Horizon3.ai のセキュリティ研究者である Naveen Sunkavally が、この脆弱性を特定した。
Langflow は、AI 駆動型エージェントとワークフローを構築するための、ビジュアル・インターフェイスを提供する、Python ベースの Web アプリケーションだ。GitHub では 50,000+ のスターを獲得し、DataStax と IBM からのサポートも受けるという、多くのフォロワーを持つ OSS プロジェクトである。
この問題のコアは、信頼できないユーザー入力に対して、Python の exec 関数を実行する、認証されていない API エンド・ポイント (/api/v1/validate/code) にある。Langflow では、認証済みユーザーであれば、Python コードを変更/実行できるため、この脆弱性は未認証の攻撃者にとって魅力的なものとなる。つまり、攻撃者は、Python リバースシェルなどの悪意のコードを、デコレータや関数のデフォルト引数に挿入することで、リモートコード実行を実現できる。
以下は、Langflow サーバの環境変数を、つまり、保存されている可能性のある認証情報などを取得するワンライナーだ。
curl -X POST -H 'Content-Type: application/json' http://10.0.220.200:8000/api/v1/validate/code -d '{"code": "@exec(\"raise Exception(__import__(\\\"subprocess\\\").check_output(\\\"env\\\"))\")\ndef foo():\n pass"}'
Horizon3 がセキュリティ研究者向けにリリースしたものには、”/etc/passwd” の内容を取得して脆弱性をチェックする、Nuclei 検出テンプレートもある。
研究者たちは「Censysによると、この記事の執筆時点で、インターネット上には 500以上の、無防備な状態の Langflow インスタンスが存在する」と警告している。
この脆弱性の悪用に成功した攻撃者は、Langflow サーバを完全に侵害することが可能になる。それにより、データ漏洩/システム障害などに加えて、その他の悪意の活動につながる可能性がある。
すでに Langflow は、バージョン1.3.0 をリリースし、この脆弱性を修正している。ユーザーに対して強く推奨されるのは、この最新バージョンへのアップグレード、もしくは、Langflow インスタンスへのネットワーク・アクセスの制限となる。
AI エージェントとワークフロー構築用のローコード・ツールである Langflow に、深刻な脆弱性が発見されました。この脆弱性は、GitHub では Critical (CVSS:9.8) と評価されています。ご利用のチームは、アップデートをお急ぎください。よろしければ、カテゴリ _AI/ML も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.