AI開発基盤Langflowの未修正脆弱性 CVE-2026-5027 が実環境で悪用 — 未認証RCEに
AIアプリを構築するオープンソースのローコード基盤 Langflow(GitHub 約149K★)の未修正脆弱性 CVE-2026-5027(CVSS 8.8)が、実際の攻撃で悪用されていると VulnCheck が報告した。POST /api/v2/files エンドポイントが filename パラメータをサニタイズせず、../ を使った任意ファイル書き込みを許す path traversal で、最終的に未認証のリモートコード実行(RCE)に至る。
キーポイント
- 脆弱性は Tenable が2026年3月末に発見。メンテナへの3回の連絡が不調に終わり3/27に公開、現時点で未修正(unpatched)
- Langflow はデフォルトで未認証オートログインが有効なため、認証情報なしで脆弱なエンドポイントに到達できる。1リクエストで有効なセッショントークンを取得し悪用へ進む
- Censys のデータでは約7,000台の Langflow インスタンスがネット公開され、過半数が北米に所在
- 2026年だけで Langflow は複数CVE(0770/33017/21445等)の悪用が相次ぐ。別の CVE-2025-34291 はイラン系 MuddyWater に悪用され CISA KEV 入り済み
- 同時期に LiteLLM の CVE-2026-42271(コマンドインジェクション→未認証RCE)も実環境悪用の報告。AIゲートウェイ/基盤層の脆弱性が連続