オープンソースAIプラットフォームLangflowにおいて、深刻な脆弱性CVE-2026-33017が発見され、公開からわずか20時間で悪用が確認されています。この脆弱性は認証なしでPythonコードを実行可能とするもので、サーバー権限を完全に奪われるリスクがあります。攻撃は単一HTTPリクエストで成立するため、迅速な対応が求められています。
The Hacker News:Critical Langflow Flaw CVE-2026-33017 Triggers Attacks within 20 Hours of Disclosure
この記事のポイント
影響のあるシステム
- Langflow オープンソース版 1.8.1以前の全バージョン
- /api/v1/build_public_tmp/{flow_id}/flow エンドポイントを利用する環境
- 公開フロー機能を有効にしたサーバー環境全般
推奨される対策
- Langflowを最新版のリリース状況を随時確認と暫定的にネットワーク制限等の緩和策を優先
- 公開フローで利用される環境変数や秘密情報の監査
- データベースパスワードやAPIキーのローテーション実施
- 不審なアウトバウンド接続の監視
- ファイアウォールや認証付きリバースプロキシによるアクセス制限
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- CVE-2026-33017:Langflowに存在する未認証リモートコード実行の脆弱性ID。CVSSスコアは9.3と高危険度。
- exec():Pythonで任意コードを実行する関数。本脆弱性では外部から渡されたデータがそのまま実行されます。
- TTE(Time-to-Exploit):脆弱性が公開されてから実際に攻撃されるまでの期間。近年は数時間に短縮されています。
脆弱性の仕組みと攻撃手法
CVE-2026-33017は、Langflowの公開フロー構築エンドポイントにおける未認証コード実行の脆弱性です。攻撃者はPOSTリクエストで任意のPythonコードをJSONペイロードとして送信すると、サーバー上でそのコードがexec()により実行されます。この仕組みはもともとパブリックフロー機能のため認証を必要とせず、攻撃者はユーザー認証なしでサーバーの権限を取得できます。
成功すると、攻撃者は環境変数やファイルへのアクセス、バックドアの仕込み、逆シェルの取得などが可能となります。単一のHTTPリクエストで即時にコード実行が成立するため、従来のパッチ展開サイクルでは防ぎきれないリスクがあります。
さらに、攻撃者は自動スキャンに続きカスタムPythonスクリプトで”/etc/passwd”や環境情報を収集し、追加のマルウェアを段階的に展開する手法も確認されています。このため、単純な脆弱性スキャンだけでは完全に防御できません。
悪用の現状とリスクの急速な拡大
Sysdigによると、この脆弱性は公開から20時間以内に実際の攻撃が確認されています。攻撃者は公開アドバイザリを基に自前でエクスプロイトを作成し、脆弱なLangflowインスタンスをスキャンして情報を抜き取っています。抽出された情報には接続されたデータベースの認証情報や環境設定が含まれ、サプライチェーン攻撃の踏み台になる可能性も指摘されています。
従来は脆弱性公開から攻撃まで数日から数週間かかることが一般的でしたが、近年は数時間で悪用されるケースが増えています。この急速な攻撃成立により、防御側のパッチ適用や検証の時間が不足し、組織は長期間リスクに晒される状況にあります。
特にAIプラットフォームは貴重なデータやサプライチェーンの連携を伴うため、攻撃者にとって非常に魅力的な標的となっています。早期に脆弱性対策を実施することが不可欠です。
日本国内組織が取るべき具体的対策
国内のLangflow利用者は、まず最新の開発版または公式パッチで更新することが最優先です。さらに、公開フローで使用される環境変数や秘密情報を監査し、不要な情報は削除する必要があります。データベースやAPIキーのローテーションを行い、外部への不審な通信を監視することも重要です。
ネットワークレベルでは、ファイアウォールや認証付きリバースプロキシでアクセス制限を行い、公開エンドポイントへの不正アクセスを防止します。また、サーバーログやアクセス履歴を継続的に確認し、異常な挙動がないか監視体制を整えることが推奨されます。これらを組み合わせることで、攻撃による被害を最小限に抑えることが可能です。
