積極的に悪用されているCVE-2026-5027は、脆弱なLangflowサーバー上の任意の場所へのファイル書き込みを攻撃者に許し、リモートコード実行およびシステム全体の侵害につながる経路を生み出しています。
オープンソースのAIオーケストレーションプラットフォーム「Langflow」を利用する企業に対し、修正プログラムが2ヶ月以上前から提供されているにもかかわらず、現在も悪用が続く深刻なパストラバーサルの脆弱性へのパッチ適用が強く求められています。
この脆弱性は、Langflowのファイルアップロード機能におけるファイル名の不適切な処理に起因しており、攻撃者が影響を受けるシステム内の任意の場所にファイルを書き込むことを可能にします。また、特定の条件下では、対象サーバーでのリモートコード実行(RCE)に利用される可能性もあります。
さらに問題を複雑にしているのは、Langflowがオートログイン機能を有効にした状態で提供されている点です。これにより、認証されていないユーザーでも有効なセッションさえあれば、認証情報なしで脆弱なエンドポイントにアクセスできてしまいます。
ProCircularのサイバーセキュリティR&D担当バイスプレジデントであるジム・シャーロック氏は次のように述べています。「Langflowは、AIアプリケーションの構築に広く使われている人気のオープンソースツールです。このプラットフォームはデフォルトでログインが無効になった状態で提供されているため、認証情報なしの1回のリクエストだけで悪用が可能であり、結果としてマシンを完全に乗っ取られてしまいます。」
クラウドセキュリティの非営利団体Cloud Security Alliance(CSA)によると、約7,000件のLangflowインスタンスがインターネットに公開されているとのことです。
システム全体の乗っ取りを可能にするパストラバーサルの問題
Langflowは、ドラッグ&ドロップのインターフェースを通じてAIエージェント、RAGパイプライン、MCPベースのワークフローを構築できる人気の低コードプラットフォームです。その人気が、CVSSスコア8.8を付与されたパストラバーサルの脆弱性であるCVE-2026-5027に対する懸念をさらに高めています。
CVEレコードによると、この脆弱性はPOST /api/v2/filesエンドポイントに影響を与えます。同エンドポイントは「multipart form data」を通じて渡される「filename」パラメーターを適切に検証できないため、攻撃者が「../」などのパストラバーサルシーケンスを含め、意図されたアップロードディレクトリの外側にある攻撃者が制御する場所にファイルを書き込むことが可能になります。
EQST LabはGitHubのPoC エクスプロイトを使用して、この脆弱性を悪用して攻撃者が制御するファイルをファイルシステム上の任意の場所に配置できることを実証しました。オートログインが有効な環境では、任意のファイル書き込みがリモートコード実行にエスカレートする可能性があるとしています。
EQST研究者はPoCのノートに次のように記しています。「任意のファイル書き込みの脆弱性は、標準的な無制限アップロードの問題よりも深刻なケースが多くあります。攻撃者がファイルの内容だけでなく、書き込み先のパスも制御できるためです。Langflowプロセスの実行時権限によっては、アプリケーションファイルの上書き、スタートアップファイルやスケジュールタスクファイルの変更、シェル初期化ファイルやキーファイルを通じた永続化、さらには任意のファイル書き込みからリモートコード実行へのエスカレーションが可能になる場合があります。」
この脆弱性はLangflowバージョン1.8.4以前に影響を与えます。研究者によると、当該問題は4月15日にリリースされたバージョン1.9.0で修正されており、脆弱性がベンダーに最初に報告されてから73日後のことです。パッチのロジックは、現行バージョン1.10.0を含む以降のすべてのリリースにも適用されています。
LangflowはCSOからのコメント依頼に対して、すぐには回答しませんでした。
攻撃者を引き続き引き付けるAIオーケストレーションプラットフォーム
この脆弱性の開示は、AIインフラへの攻撃者の関心が高まる中で行われました。VulnCheckは、CVE-2026-5027がすでに悪用されており、脆弱なシステムへのファイル投下を試みる活動が観測されていることを確認しています。公開されているエクスプロイトコードにより、日和見的な攻撃者に対する障壁はさらに低下しています。
CVE-2026-5027の悪用は、MuddyWaterとして知られるイランの国家支援グループとの関連が指摘されています。
シャーロック氏は、多くの組織が急速に展開されたAIツールによって、知らず知らずのうちに攻撃対象領域を拡大していると述べています。「2025年を通じて、あらゆる場所のチームがLangflow、Flowise、n8n、Difyといった低コードツールを立ち上げ、エージェントやLLMワークフローのプロトタイプを作成しました」と付け加えました。「こうした展開において、本番Webアプリに施されるような堅牢化が行われることはほとんどありませんでした。誰かがステークホルダーにフローをデモする必要があったために、デフォルトの認証設定のままパブリックIPで稼働しており、パッチ適用を担当する人間も誰もいないのです。」
今年の初めには、脅威アクターがLangflowの別の重大なRCEを開示直後に悪用しました。また最近では、研究者がFlowiseのModel Context Protocol(MCP)実装に影響を与える深刻な脆弱性を発見しており、細工された設定によってRCEが可能であることが確認されています。
