攻撃者が現在、AIアプリ開発プラットフォーム「Langflow」に存在する深刻なパストラバーサル脆弱性「CVE-2026-5027」を積極的に悪用しており、公開されているサーバー上に任意のファイルを書き込む攻撃が確認されています。
Langflowは、AIアプリケーション・AIエージェント・RAG(Retrieval-Augmented Generation)システム・MCPベースのワークフローを、従来のコーディングの代わりにドラッグ&ドロップで構築できるオープンソースのビジュアルプラットフォームです。
多くのAI開発チームに利用されており、GitHubでは14万9,000以上のスターと9,200以上のフォークを獲得しています。
CVE-2026-5027は、Langflowのファイルアップロード機能に存在する深刻なパストラバーサルの脆弱性で、ユーザーが指定したファイル名を適切にサニタイズできていないことが原因です。
この脆弱性を年初に発見したTenableは、次のように説明しています。「『POST /api/v2/files』エンドポイントはマルチパートフォームデータの『filename』パラメーターをサニタイズしておらず、攻撃者はパストラバーサルシーケンス(’../’)を使ってファイルシステム上の任意の場所にファイルを書き込むことができます。」
Tenableは2026年3月27日にこの問題を公開開示しました。Langflowチームへの最初の報告から2ヶ月以上、返答がないまま時間が経過していました。
Tenableのアドバイザリーには修正についての記述がありませんでしたが、Snyk Securityは2026年3月30日、langflow-baseパッケージのバージョン0.8.3で修正済みであることを報告しました。Langflowアプリケーション本体については、バージョン1.9.0でパッチが適用されています。
VulnCheckのセキュリティ研究者Caitlin Condon氏によると、同社のハニーポットが、攻撃者が脆弱なインスタンスにテストファイルを設置するためにこの脆弱性を悪用していることを検知したとのことです。
Condon氏はLinkedInへの投稿でこう述べています。「Langflowはデフォルトで未認証の自動ログインを有効にしているため、脆弱なエンドポイントへのアクセスに認証情報は必要ありません。未認証のリクエストを1回送信するだけで有効なセッショントークンを取得でき、その後の攻撃へと続けることができます。」
同氏はさらに、Censysのスキャンによって公開状態にあるLangflowインスタンスが約7,000件確認されたと述べています。ただし、Censysのデータには過去12ヶ月のスキャン履歴が含まれており、現時点で実際に公開されているシステムの数を正確に反映していない可能性があります。
CVE-2026-5027の悪用は、今年初めにCVE-2026-0770、CVE-2026-21445、CVE-2026-33017といった他のLangflow脆弱性を標的にした同様の攻撃活動が相次いだ直後に確認されたものです。
昨年には、米国のサイバーセキュリティ・インフラセキュリティ局(CISA)もCVE-2025-3248の積極的な悪用について警告を発していました。Condon氏によると、VulnCheckでは現在もこの脆弱性に関連する活動を観測しており、イランの脅威グループ「MuddyWater」に起因する活動も含まれているとのことです。
Langflowユーザーには、本日公開された最新版であるバージョン1.10.0へのアップグレードが推奨されています。
攻撃者より先に、すべての防御層をテスト
セキュリティチームが記録できている攻撃成功は54%、アラートを発報できているのはわずか14%です。残りの攻撃は気づかれないまま環境内を侵攻しています。
PicusのホワイトペーパーでSIEMやEDRのルールを侵害・攻撃シミュレーションでテストする方法を確認し、脅威の検知漏れをなくしましょう。
