AIアプリケーション構築に広く利用されているオープンソースのローコードプラットフォーム「Langflow」に深刻なパストラバーサル脆弱性が存在することが明らかになり、現在実際の攻撃での悪用が確認されています。
CVE-2026-5027として追跡されているこの脆弱性のCVSSスコアは8.8で、攻撃者は有効な認証情報を必要とせずに、ファイルシステム上の任意の場所へのファイル書き込みとリモートコード実行を実現できます。
CVE-2026-5027は、LangflowのPOST /api/v2/filesエンドポイントに存在します。マルチパートフォームデータのfilenameパラメータが適切にサニタイズされていないことが原因です。
これにより、攻撃者は'../'などのパストラバーサルシーケンスを挿入して意図されたアップロードディレクトリ外に移動し、基盤となるファイルシステムの任意の場所にファイルを書き込むことが可能になります。
Langflowのデフォルト設定により、攻撃対象領域はさらに大きく広がっています。このプラットフォームはデフォルトで認証なしの自動ログインが有効になっており、認証なしの単一HTTPリクエストだけで有効なセッショントークンを取得できる状態になっています。
この脆弱性はもともとTenable Network Securityによって発見・報告されました。同社は2026年1月20日を皮切りにベンダーへ3度にわたって開示を試みましたが、返答が得られなかったため、2026年3月27日に公開開示を行いました。
MITRE ATT&CKフレームワークでは、この問題はテクニックT1006(Direct Volume Access / パストラバーサル)にマッピングされています。現時点では、この脆弱性に対する公式パッチやベンダーが確認した修正は存在しません。
2026年6月8日、VulnCheckはCanaryセンサーによって初めての実際の悪用が検出されたことを受け、CVE-2026-5027をKnown Exploited Vulnerabilities(KEV)リストに追加しました。
観測された攻撃活動では、パストラバーサルシーケンスを用いて被害者のシステムにテストファイルと思われるものの書き込みが成功しており、これはより破壊的なペイロードを展開する前段階として一般的に見られる手口です。
Caitlin Condon氏によると、VulnCheckチームが実施したCensysクエリにより、インターネット上に公開されているLangflowインスタンスが約7,000件確認されており、最も集中しているのは北米とのことです。
同プラットフォームでは今年、CVE-2026-0770、CVE-2026-21445、CVE-2026-33017など複数の脆弱性が活発に悪用されており、特にCVE-2026-33017は公開からわずか20時間以内に悪用が確認されました。
さらに、CVE-2025-34291は連鎖型RCE脆弱性で、過度に許可的なCORS設定、CSRFプロテクションの欠如、コード実行エンドポイントを組み合わせたものです。2025年12月に初めて開示され、2026年初頭に悪用が確認されました。
脅威インテリジェンスにより、その悪用はイランの国家支援グループ「MuddyWater」に関連付けられており、Langflowが単なる機会主義的なスキャナーではなく、高度な国家レベルの攻撃者に積極的に標的とされていることが裏付けられています。
CVE-2026-5027に対する公式パッチは現時点で存在しないため、セキュリティチームは以下の対策を直ちに実施してください。
インターネットに公開された環境や本番のAI開発環境でLangflowを運用している組織は、悪用が確認されている状況と利用可能な修正が存在しないことを踏まえ、これを最優先インシデントとして直ちに対応することが求められます。
翻訳元: https://cyberpress.org/langflow-vulnerability-exploited/
