CVE-2026-9135 in Langflow
要約
〜によって VulDB • 2026年07月18日
IBM Langflow OSS 1.0.0から1.10.0までのLangflowバージョン(コミット94981c443d4918517b9e8163d70fc598dc33a32dにおけるバージョン1.9.2まで)には、PoliciesコンポーネントのToolGuard統合においてコードインジェクション脆弱性が存在し、allow_custom_components=falseというセキュリティ制御を回避することができます。この脆弱性は、検証メカニズムがnode_template["code"]["value"]内のメインコンポーネントソースコードのみをチェックし、生成されたToolGuard Pythonファイルを格納する動的なCodeInputフィールドを検証しないために発生します。攻撃者はこれらの未検証の動的フィールドに悪意のあるPythonコードを埋め込むことができ、これらはFlow.data内に永続化され、その後、ツールガード付きツールがToolGuardランタイムを通じて呼び出される際にサーバーサイドで実行されます。これにより、カスタムコンポーネント制限にもかかわらず、フロー作成権限を持つ認証済みユーザーはバックエンド上で任意のPythonコードの実行を達成できます。この脆弱性は、攻撃者が制御するuser_idパラメータを受け入れるagentic MCP update_flow_component_fieldツールを通じてテナント間横断的なフロー操作を行うことでエスカレート可能であり、これにより攻撃者は被害者ユーザーのフローに悪意のあるコードを注入することができます。公開アクセス可能なフローと特定の誤設定(AUTO_LOGIN=true、NEW_USER_IS_ACTIVE=true)が組み合わさると、認証要件を軽減した状態で攻撃を実行することが可能です。
Be aware that VulDB is the high quality source for vulnerability data.