Langflow、CVE-2026-33017で公開フロー構築APIに未認証RCE
LangflowにCVE-2026-33017が付与された。GitHubのセキュリティアドバイザリ(GHSA-vwmf-pq79-vjvx、2026年3月16日公開)によれば、CVSS 4.0ベーススコアは9.3(Critical)。影響はパッケージlangflowの1.8.1以下、修正版は1.9.0以上。
POST /api/v1/build_public_tmp/{flow_id}/flow は公開フロー用に認証なしで呼び出せる設計だが、リクエストボディの任意のdataパラメータが渡されるとDB上の保存済みフロー定義ではなく攻撃者制御のフローデータ(ノード定義に埋め込んだ任意のPython)がグラフ構築に使われる。処理チェーンの末端でサンドボックスのないexecに至り、認証なしのリモートコード実行になる。CVE-2025-3248が/api/v1/validate/codeへの認証追加で抑えた経路とは別件で、公開用エンドポイントは認証を足すだけでは公開フロー機能を壊すため、推奨対応はbuild_public_tmpからdataを廃し、公開ビルドでは常にDBの保存データだけを読むこと、とアドバイザリに整理がある。
この仕組みは単一のHTTPリクエストで到達しうるため、インターネット側から到達可能なデプロイでは緊急性が高い。The Hacker Newsは、クラウドセキュリティ企業Sysdigの分析として、公表から約20時間以内にCVE-2026-33017を狙ったスキャンと悪用の試みが始まり、その時点で公開のPoCは無かったと報じている。
インスタンスを外部に晒している場合は、可能な範囲で最新の修正版へ更新し、FW・リバースプロキシで到達制御や認証を検討する。侵害想定に備え、環境変数やDB接続文字列などの秘匿情報の棚卸しとローテーション、アウトバウンドの不審な通信の監視も併せて検討する価値がある。