AIアプリケーション、エージェント、およびRetrieval-Augmented Generation（RAG）システムを構築するためのオープンソースのビジュアルプラットフォームである**Langflow**は、現在活発な攻撃の標的となっています。AI開発チームによって広く使用されているこのプラットフォームは、**GitHub**で149,000以上のスターと9,200のフォークを獲得しています。 ### 脆弱性：CVE-2026-5027 **CVE-2026-5027**は、**Langflow**のファイルアップロード機能に存在する、深刻度の高いパス・トラバーサル脆弱性です。この脆弱性は、ユーザー提供のファイル名を適切にサニタイズしないため、悪意のある攻撃者がファイルパスを操作することを可能にします。 この脆弱性を発見した**Tenable**によると、「'POST /api/v2/files'エンドポイントは、マルチパートフォームデータからの'filename'パラメータをサニタイズせず、攻撃者がパス・トラバーサルシーケンス（'../'）を使用してファイルシステム上の任意の場所にファイルを書き込むことを可能にします。」**Tenable**は、**Langflow**チームに報告したものの当初は応答がなかったため、2026年3月27日にこの問題を公に開示しました。 ### 実世界での悪用 **VulnCheck**のセキュリティ研究者Caitlin Condon氏は、**CVE-2026-5027**の活発な悪用を確認しています。**VulnCheck**のハニーポットは、攻撃者が脆弱な**Langflow**インスタンスにテストファイルをドロップしていることを検出しました。 決定的なことに、**Langflow**のデフォルトの認証なし自動ログイン機能はリスクを増大させます。Condon氏は、「**Langflow**はデフォルトで認証なしの自動ログインを有効にしているため、脆弱なエンドポイントに到達するために認証情報は不要であり、悪用を進める前に有効なセッショントークンを取得するために単一の認証なしリクエストで十分です。」と述べています。 **Censys**のスキャンでは、約7,000の公開されている**Langflow**インスタンスが特定されました。ただし、この数字には過去のデータが含まれており、現在の脆弱なシステムの数を正確に反映していない可能性があります。 ### パッチ情報と過去の脆弱性 **Tenable**のアドバイザリでは修正プログラムは特定されていませんでしたが、**Snyk Security**は2026年3月30日に、この問題が`langflow-base`パッケージバージョン0.8.3でパッチ適用され、**Langflow**アプリケーション自体はバージョン1.9.0でパッチ適用されたと報告しました。 この悪用は、今年初めに標的とされた**CVE-2026-0770**、**CVE-2026-21445**、および**CVE-2026-33017**を含む、他のいくつかの**Langflow**脆弱性に続くものです。昨年、**米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**も、**CVE-2025-3248**の活発な悪用について警告しており、**VulnCheck**はイランの脅威グループ**MuddyWater**との関連を含む活動を依然として観測しています。 ### 推奨事項 **Langflow**ユーザーは、悪用のリスクを軽減するために、最近公開された最新リリースバージョン1.10.0にアップグレードすることを強く推奨します。