AIアプリ開発プラットフォーム「Langflow」脆弱性 CVE-2026-5027がサイバー攻撃に悪用の恐れ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月12日更新日時: 2026年06月12日

2026年6月10日、AIアプリケーション開発プラットフォーム「Langflow」のパストラバーサル脆弱性 CVE-2026-5027（CVSS 8.8・High）が修正されましたがサイバー攻撃に悪用されている可能性があります。

今回の脆弱性が特に深刻な理由は、Langflowのデフォルト設定にあります。

VulnCheckのCaitlin Condon VP（セキュリティリサーチ担当）はLinkedInの投稿で「Langflowはデフォルトで未認証の自動ログインを有効にしているため、脆弱なエンドポイントに到達するために認証情報は不要であり、有効なセッショントークンを取得して悪用を進めるために必要なのは認証不要のリクエスト1件だけ」と指摘しています。

これは事実上、インターネットに公開されたLangflowサーバーに対して誰でも攻撃を仕掛けられる状態を意味します。

Censysのデータでは約7,000件のLangflowインスタンスがインターネット上に公開されていることが確認されており（北米に多数）、VulnCheckのハニーポットではすでにサーバーへのテストファイル書き込みを試みる攻撃が観測されています。

修正バージョンは2026年3月30日にリリース済み（langflow-base 0.8.3 / Langflow 1.9.0）ですが、多数の未更新インスタンスが依然として危険にさらされています。本記事では脆弱性の技術詳細・LangflowのデフォルトがなぜRCEを容易にするか・2026年のLangflow脆弱性の連続悪用パターン・対応手順を解説します。

サマリー

2026年6月10日、VulnCheckがCVE-2026-5027の野外悪用を確認（BleepingComputer報告）
CVE-2026-5027（CVSS 8.8・High）：POST /api/v2/filesエンドポイントのfilenameパラメータ未サニタイズ→パストラバーサルシーケンス（../）でサーバーの任意場所にファイルを書き込み可能
認証不要でRCE可能：Langflowのデフォルトの「未認証自動ログイン」により有効なセッショントークンを認証なしで取得可能→1リクエストで脆弱なエンドポイントに到達（VulnCheck Caitlin Condon）
現在の悪用状況：攻撃者がテストファイルを被害サーバーに書き込む活動を観測中（VulnCheckハニーポット）
公開中のLangflowインスタンス：Censysデータで約7,000件がインターネット公開中（北米が多数）
修正バージョン：langflow-base 0.8.3 / Langflow 1.9.0（2026年3月30日・Snyk Security確認）
脆弱性開示の経緯：Tenable（Joshua Martinelle）が2026年1〜2月に3回連絡を試みたが無応答→2026年3月27日に公開開示
2026年のLangflow脆弱性の連続悪用：CVE-2026-5027は2026年のLangflow脆弱性5件目。CVE-2025-34291（CISA KEV・MuddyWater悪用）・CVE-2026-33017（数時間以内に悪用）・CVE-2026-0770・CVE-2026-21445が先行

1 2026年のLangflow脆弱性の連続悪用—5件目のKEV級インシデント
2 Langflowとは—AIエージェント開発プラットフォームの急速な普及と攻撃の標的化
3 CVE-2026-5027の技術詳細——パストラバーサルによる任意ファイル書き込み
- 3.1 デフォルト設定がRCEを容易にする仕組み
4 脆弱性開示の経緯—2か月間無応答で公開開示に踏み切ったTenable
5 約7,000件のインスタンスが公開中——今すぐ実施すべき対応
6 FAQ
7 参考情報

2026年のLangflow脆弱性の連続悪用—5件目のKEV級インシデント

CVE-2026-5027は2026年に確認されたLangflow関連の脆弱性の中で少なくとも5件目です。Langflowが繰り返し攻撃の標的になっている背景を以下に整理します。

CVE	CVSS	種別	悪用状況	特記事項
CVE-2025-34291	9.4	起源検証エラー→任意コード実行	CISA KEV（2026年5月21日追加）	イランの国家支援APT「MuddyWater」が初期アクセスに悪用
CVE-2026-33017	Critical	コードインジェクション→RCE	公開後数時間以内に悪用（Sysdigハニーポット確認）	公開PoCなしの段階で悪用開始。CISA KEV追加
CVE-2026-0770	—	—	悪用確認	—
CVE-2026-21445	—	—	悪用確認	—
CVE-2026-5027	8.8	パストラバーサル→任意ファイル書き込み	悪用中（VulnCheckハニーポット確認）	認証不要でRCE可能

特にCVE-2025-34291は、CyberBase AIの分析で「LangflowへのイランAPT（MuddyWater）による初期アクセス攻撃」が確認されており同じ脅威アクターがLangflowも標的にしていることが確認されています。

Langflowとは—AIエージェント開発プラットフォームの急速な普及と攻撃の標的化

Langflowは、AIエージェント・RAGシステム・MCP（Model Context Protocol）ワークフロー・その他のAIアプリケーションをコーディング不要のビジュアルインターフェース（ドラッグ＆ドロップ）で構築できるオープンソースプラットフォームです。AIサービスのAPI統合・データパイプラインの構築・マルチステップのAIワークフロー設計に幅広く活用されており、GitHub上で14万9,000件超のスターと9,200件超のフォークを持つ主要なAI開発ツールの一つとなっています。

LangflowがセキュリティリスクとしてCISAのKEVカタログに繰り返し登場する理由は、その設計上の特性にあります。Langflowのインスタンスには通常、接続されているすべてのAIサービス・SaaS・APIのトークンと認証情報が格納されています。Cyberbase AIの分析によれば「Langflowへの侵害が成功すると、接続されているすべてのダウンストリームサービスにわたる連鎖的な侵害をトリガーできる」とされており、一点突破で広範なシステム侵害につながるリスクがあります。

CVE-2026-5027の技術詳細——パストラバーサルによる任意ファイル書き込み

Tenableのセキュリティアドバイザリ（TRA-2026-26）は脆弱性を以下のとおり説明しています：

「POST /api/v2/filesエンドポイントは、マルチパートフォームデータのfilenameパラメータをサニタイズしていないため、攻撃者はパストラバーサルシーケンス（../）を使用してファイルシステムの任意の場所にファイルを書き込むことが可能です。」

この脆弱性はupload_user_file関数に存在します。攻撃者は正常なファイルアップロードリクエストのfilenameに../../etc/cron.d/evilや../../home/user/.ssh/authorized_keysのような相対パスを含めることで、本来はアップロード先として意図されていないシステム上の任意の場所にファイルを配置できます。

デフォルト設定がRCEを容易にする仕組み

VulnCheckのCaitlin Condon VP（セキュリティリサーチ担当）はLinkedInの投稿で重要な観察を共有しています：

「LangflowはデフォルトでUIを通じた未認証の自動ログインを有効にしているため、脆弱なエンドポイントに到達するために認証情報は不要であり、悪用を進める前に有効なセッショントークンを取得するには認証不要のリクエスト1件だけで十分です。」

つまり、インターネットに公開されているLangflowインスタンスに対して攻撃者は：

認証情報なしで自動ログインセッションを取得
取得したセッショントークンを使ってPOST /api/v2/filesに悪意あるファイル名でリクエストを送信
サーバーの任意場所にファイルを書き込み（Webシェル・SSHキー・cronジョブ等）
リモートコード実行（RCE）に到達

という一連の操作が認証情報なしで実行できます。

脆弱性開示の経緯—2か月間無応答で公開開示に踏み切ったTenable

Tenableは2026年1月と2月に計3回Langflowプロジェクトのメンテナーへの連絡を試みましたが、いずれも応答を得られませんでした。その後2か月以上が経過した2026年3月27日に、Tenableはメンテナーへの事前通知なしに脆弱性の公開開示を行いました。

Snyk Securityは3日後の2026年3月30日に、langflow-base 0.8.3およびLangflow 1.9.0で問題が修正されたことを報告しています。

この経緯は、急速に普及するオープンソースAIツールのセキュリティ対応体制の課題を示しています。コア機能の開発に注力するあまり、責任ある脆弱性開示（CVD）プロセスへの対応が後回しになっているケースは、Langflowのみならず多くのAI開発ツールで見られる傾向です。

約7,000件のインスタンスが公開中——今すぐ実施すべき対応

VulnCheckのハニーポットは攻撃者がテストファイルの書き込みを試みていることを確認しており、「テストファイル投下」段階はより深刻な侵害（Webシェルの設置・SSHキーの追加・cronジョブによる永続化）への準備段階である可能性があります。

Censysによれば約7,000件のLangflowインスタンスがインターネットに公開されており、その大多数が北米に位置しています。Langflowインスタンスがインターネット公開されている企業はすぐに以下を確認してください。

即時対応（最優先）

バージョン確認：実行中のLangflowのバージョンを確認してください
```
pip show langflow-base
```
修正バージョンへのアップグレード：langflow-base 0.8.3以上・Langflow 1.9.0以上にアップデートしてください
```
pip install --upgrade langflow
```
インターネット公開の遮断：Langflowをインターネットから直接到達できない状態にしてください。VPN・プライベートネットワーク・認証プロキシの背後に配置することを強く推奨します。
デフォルトの未認証自動ログインの無効化：Langflowの設定でLANGFLOW_AUTO_LOGIN=falseを設定してください。これによりCVE-2026-5027のような脆弱性のエクスプロイトに必要な認証不要のセッション取得が困難になります。

侵害確認

インターネット公開状態だった期間があり、まだパッチを適用していない場合は、以下の侵害の痕跡（IOC）を確認してください。

/tmp/や/etc/以下への予期しないファイルの存在
cron.d・authorized_keys・Webシェル（.py・.shファイル等）の不審な追加
Langflowプロセスからの予期しない外部ネットワーク通信ログ

FAQ

Q. Langflowを社内限定（インターネット非公開）で運用している場合は安全ですか？ A. インターネットから直接到達できない環境では攻撃者の接触自体が困難ですが、CVE-2026-5027は認証済みユーザーからの悪用も可能です（CVSS 8.8の評価には認証ありの攻撃シナリオも含まれます）。内部展開環境でも修正バージョン（1.9.0以上）へのアップグレードを推奨します。

Q. 「テストファイル書き込み」という悪用段階はどのような意味がありますか？ A. 「テストファイル書き込み」は攻撃者がターゲットサーバーへのファイル書き込みアクセスを確認するための偵察活動です。この後、Webシェルの設置・SSHキーの追加・cronジョブによる永続化・認証情報の窃取といったより深刻な攻撃に発展する可能性があります。現在はこの初期段階が観測されているということは、まだ被害を防げる段階であることを意味します。

Q. LangflowのデフォルトCORBや未認証ログインはなぜセキュリティリスクになるのですか？ A. Langflowは開発・プロトタイピングの利便性を最優先した設計として未認証自動ログインをデフォルトで有効にしています。しかし本番環境やインターネット公開環境でこの設定のまま運用すると、認証情報を持たない攻撃者がAPIエンドポイントに直接アクセスできる状態になります。CVE-2026-5027のような脆弱性があった場合、この設定が「攻撃に必要な手順」を大幅に削減してしまいます。