攻撃者がLangflowの脆弱性を悪用し認証情報を窃取(CVE-2026-55255)

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、攻撃者による実際の悪用が確認されている、Langflowの新たな脆弱性(CVE-2026-55255)について警告を発しています。

この脆弱性は、Sysdig脅威リサーチチームが積極的な標的化を観測してから2週間近く経った7月7日火曜日に、同庁の「既知の悪用済み脆弱性」カタログに追加されました。

悪用されているCVE-2026-55255

Langflowは、AIエージェントやワークフローを構築するためのオープンソースのビジュアルフレームワークで、個人開発者から企業、サービスプロバイダーまで幅広く利用されています。

CVE-2026-55255は、Langflowの/api/v1/responsesエンドポイントに存在する安全でない直接オブジェクト参照(IDOR)の脆弱性です。

1.9.2より前のバージョンでは、認証済みの攻撃者が、対象のフローIDをリクエストに指定するだけで、他のユーザーが所有するフローを実行できてしまいます。このエンドポイントはクライアントから送信されたフロー識別子を受け付けますが、リクエストを行ったユーザーが実際にそのフローを所有しているか、あるいは呼び出す権限を持っているかを一切確認していません。

CVE-2026-55255が実際に悪用されているのを6月25日に最初に観測したSysdigの脅威リサーチチームは、同一の攻撃者が同じ週に、同一のインスタンスに対してこの脆弱性とCVE-2026-33017(認証なしのリモートコード実行につながりうるコードインジェクションの脆弱性)の両方を実行する様子を確認しました。

研究者らは「攻撃者は[CVE-2026-33017]には持続的な労力を注ぎ込んだ一方、[CVE-2026-55255]についてはわずか2回のリクエストで済む付随的な手段として扱っており、悪用の可能性を広げるためだけにツールセットに加えたに過ぎない」と指摘しています。

Langflowのフローには、APIキーや認証情報、外部システムとの連携情報が日常的に組み込まれているため、他ユーザーのフローを乗っ取られると、テナントをまたいだデータ漏えいや秘密情報の窃取に発展しかねません。Sysdigは、攻撃者が乗っ取ったフローに「APIキーを漏えいさせる」プロンプトを注入し、組み込まれた認証情報を狙う様子を観測しています。

研究者らは「単一のセルフホスト型インスタンスにおいては、LangflowのIDOR脆弱性(CVE-2026-55255)がRCE脆弱性(CVE-2026-33017)にできないことは何もない」としつつも、IDOR脆弱性はマルチテナント/マネージドSaaS環境において威力を発揮すると述べています。

RCE単体では各テナントのサンドボックス化されたワーカー間の分離を突破することはできませんが、IDORはアプリケーション層でテナントの境界を越え、プラットフォーム自体の「正規」実行経路に乗じることで、被害者の認証情報を使って被害者のフローを実行できてしまうと説明しています

Sysdigは、この攻撃者について日和見的かつ金銭目的であると評価しています。彼らの主な狙いはCVE-2026-33017を通じたコード実行と第2段階のインプラント配布でしたが、同時にIDOR(CVE-2026-55255)も利用して、LLMプロバイダーのキーやクラウド認証情報、データベースの秘密情報といった組み込みの機密情報を収集していました。

連邦機関は7月10日までにパッチ適用が必須

CISAは米連邦民間機関に対し、2026年7月10日までにシステム上のCVE-2026-55255への対策を講じるよう命じています。防御担当者は、SysdigおよびSentinelOneが示す侵害の痕跡の有無についても確認しておく必要があります。

CVE-2026-33017は2026年3月25日に「既知の悪用済み脆弱性」カタログに追加済みであるため、各機関はすでに対応を完了しているはずです。

翻訳元: https://www.helpnetsecurity.com/2026/07/08/langflow-vulnerability-cve-2026-55255-exploited/

ソース: helpnetsecurity.com