ラボまとめコラムニュース
ブログ/記事一覧/Langflowに重大脆弱性 CVE-2026-7524、tarリンク悪用でJWT流出からRCEへ
langflow-cve-2026-7524-tar-symlink-rce-cover-ja

Langflowに重大脆弱性 CVE-2026-7524、tarリンク悪用でJWT流出からRCEへ

Langflow OSSにCVSS9.8の重大脆弱性CVE-2026-7524。IBMが2026年5月27日に開示。tar内のシンボリックリンクからJWT秘密鍵流出を経て遠隔コード実行まで連鎖する経路が確認された。v1.0.0〜v1.9.1が影響、v1.9.2以降への即更新を。

ニュース 本日更新
avatar-m-1

堀川 慎

Backend Engineer / AWS / Django

2026.05.287 min1 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

Langflow OSSにCVSS9.8の重大脆弱性CVE-2026-7524。IBMが2026年5月27日に開示。tar内のシンボリックリンクからJWT秘密鍵流出を経て遠隔コード実行まで連鎖する経路が確認された。v1.0.0〜v1.9.1が影響、v1.9.2以降への即更新を。

IBMが2026年5月27日、ノーコードでAIアプリを組み立てる人気ツール「Langflow」のOSS版に、CVSS 9.8(緊急)の脆弱性CVE-2026-7524が存在することをセキュリティ速報で開示しました。影響範囲はv1.0.0〜v1.9.1の全バージョン。修正版はv1.9.2以降になります。

攻撃の入り口は、社内で動かしているAIチャットボットへの「ファイルアップロード機能」。攻撃者が細工した .tar アーカイブをアップロードするだけで、内部のJWT秘密鍵が読み取られ、管理者になりすまし、最終的にPython実行ノード経由で任意コードが走るところまで連鎖します。RAG(社内ナレッジ検索AI)を社内向けに開いている企業は、ユーザーがファイルを投げ込めるところがそのままRCE経路になっていた、ということになります。

Langflowは2025年以降、すでにCVE-2026-33017(Flodrixボットネットに公開20時間で利用された事件)CVE-2025-3248(validate_codeの認証RCE)を含む大型のRCE脆弱性を立て続けに出しており、今回は同じ製品で4回目の致命傷クラスの開示となります。

Langflowとは何か

Langflowは、AIエージェントやチャットボットを「画面のブロックをマウスでつなぐだけ」で組み立てられるノーコードツールです。OpenAIやAnthropicのAIを呼び出し、社内のドキュメント検索(RAG)、メール自動応答、業務フローの自動化などを、コードを書かずに作れるのが売りです。

2024年に米IBMが運営元のDataStaxを買収して以降、Langflowはエンタープライズ向けの「Langflow Desktop」と無料の「Langflow OSS」の2つに分かれ、IBM公式のサポート対象になっています。GitHubのスター数は7万を超え、米国のスタートアップを中心に社内AIの組み立て基盤として広く採用されています。

日本でも、社内のFAQボット構築や、PDFやCSVを読ませて質問応答させる用途で導入する企業が増えています。問題は、ユーザーにファイルを投げ込ませる「RAG用ナレッジ取り込み機能」が、まさに今回の攻撃の入り口になっていることです。

CVE-2026-7524の中身

脆弱性はLangflow OSS内部の _unpack_bundle 関数に存在します。NVDの分類は CWE-22(パストラバーサル)。攻撃者が .tar アーカイブの中に「OSの別の場所を指すシンボリックリンク(ファイルへのショートカット)」を仕込み、Langflowがそれを展開する際、リンク先の検証をせずにそのまま実体ファイルを読み込んでしまうのが根本原因です。

項目内容
CVE番号CVE-2026-7524
CVSS v3.1スコア9.8(緊急)
CVSSベクトルAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性の種類CWE-22
パストラバーサル
脆弱な関数_unpack_bundle
(tar展開処理)
影響バージョンLangflow OSS v1.0.0〜v1.9.1
修正バージョンv1.9.2 以降
対象OSmacOS / Windows / Linux
開示日2026年5月27日
認証要否不要
(PR:N)
攻撃ベクトルネットワーク経由
(AV:N)
CISA KEV登録未登録(2026年5月27日時点)

CVSSベクトルの「PR:N」(事前認証なし)が、この脆弱性の最大の重みです。攻撃者は、Langflowに何のアカウントも持っていなくても、ファイルアップロード機能が外部に公開されてさえいれば手が届きます。社内RAGボットを「便利だから」と社外ユーザーにも開いていた企業は、ここが致命傷になります。

なぜ「tarをアップロードする」だけでRCEまで届くのか

単なるパストラバーサルにとどまらないのが、今回のCVE-2026-7524の怖いところです。攻撃の連鎖は次のように組み立てられています。

ステップ攻撃者の行動Langflow内部で起きること
細工した
tar作成		中にJWT_SECRET等を指す
シンボリックリンク混入
RAGの
ドキュメント
アップロード画面に投入		_unpack_bundle
がリンクをそのまま展開
展開後の中身を
チャットで質問		リンク先のJWT秘密鍵が
ベクターDBへ格納される
秘密鍵で
管理者JWTを偽造		なりすましログイン成立
Python Interpreter
ノードを呼ぶ		サーバ上で
任意コードが実行される

攻撃の核は「③→④」の繋ぎ目です。LangflowはアップロードされたファイルをRAG用のベクターデータベース(質問応答のために文書を検索可能な形にしておく仕組み)に放り込みます。攻撃者は普通に「この設定ファイルの中身を教えて」と聞くだけで、ベクターDBがJWT秘密鍵の中身をそのまま返してしまう、というのが本来は起きてはいけない動作です。

JWT(JSON Web Token)はユーザーが「自分が誰か」を証明するための短い暗号文で、秘密鍵を盗まれた瞬間に、攻撃者は管理者のJWTを自分のPCで自由に偽造できるようになります。Langflowはこの偽造トークンを正当なものとして受け入れてしまうため、管理画面に入られ、最後はLangflowの「Pythonコードをそのまま実行できるノード」を呼ばれてサーバ上に侵入を許す、という流れです。

同じ「symlinkを使ったtar展開の脆弱性」というパターンは、過去にもnode-tartar-rsで繰り返し発生しており、ファイル展開機能を持つOSSの定番の落とし穴です。LangflowはOSS依存関係の中でも、AI関連のドキュメントを毎日アップロードされる立場にあるため、被害規模は他のtar系CVEよりはるかに大きくなります。

Langflowは過去にも何度も狙われてきた

Langflowに重大な脆弱性が出るのは、これが初めてではありません。AIエージェントの組み立てツールという性質上、「ユーザーの入力をそのままコードや設定として扱う」場面が多く、過去1年だけで複数の致命傷クラスのCVEが連続しています。

CVE番号CVSS問題悪用状況
CVE-2025-32489.8validate_code
での認証なしRCE		CISA KEV登録済み
CVE-2026-330179.8Public flow build
エンドポイントRCE		公開20時間で
Flodrixボットネットが採用
CVE-2026-65439.8Langflow Desktop
コマンドインジェクション		PoC公開
CVE-2026-420488.8Knowledge Bases API
パストラバーサル		公開済
CVE-2026-7524(今回)9.8tar内symlink検証不備
→JWT流出→RCE		2026年5月27日開示

特に2026年3月のCVE-2026-33017は、公開からわずか20時間でFlodrixというボットネットに組み込まれ、社内ネットに居座らせる足場として使われた事案として、AIアプリ業界に衝撃を与えました。JFrogの調査では、その後にIBMが出した「修正版」とされていた1.8.2も実際にはまだ攻撃が成立する状態だったことが明らかになり、「Langflowはパッチを出してもすぐ後追いの問題が出る」と運用者の間で警戒されるようになっています。

今回のCVE-2026-7524もこの系譜の延長線上にあります。CVE-2026-33017のように「flow buildエンドポイントを公開している人だけが対象」という限定条件は無く、「RAG用にファイルアップロードを開いている全Langflow OSSサーバ」が対象になるため、影響範囲はむしろ広がっています。

いますぐやるべきこと

対処は次の順番で進めることになります。

1. Langflow OSSをv1.9.2以降にアップデート。 Dockerで動かしている場合は langflowai/langflow:1.9.2 以降のタグに切り替えます。GitHubリリースページに各バージョンのコンテナイメージとPython wheelが置かれています。pip経由なら pip install --upgrade "langflow>=1.9.2"

2. すぐに更新できない場合は、ファイルアップロード機能を一時停止。 特にRAG用の「Knowledge Base」「File Upload」コンポーネントを外部ユーザーに開いている場合は、認証必須のルートに移すか、IPアクセス制限を入れます。Langflowの管理画面に入ってフローを編集し、該当ノードを切るだけでも、攻撃の入り口は閉じられます。

3. JWT秘密鍵を即時ローテーション。 アップデート後も、過去に攻撃を受けていれば既に秘密鍵が漏れている可能性があります。LANGFLOW_SECRET_KEY 環境変数を新しい値に差し替え、全ユーザーを強制ログアウトさせる運用が必要です。

4. Python Interpreter / Code Execution系ノードの利用状況を点検。 攻撃の最終段で使われるのがこの系統のノードです。普段使っていないフローで有効化されたままになっていないかを確認し、不要なら削除します。

5. アクセスログを過去30日分さかのぼって監視。 /api/v1/files/upload など、ファイルアップロード系エンドポイントの不審な大量アクセス、特に .tar ファイルのアップロード履歴を確認します。攻撃成功時はその直後にチャット経由でファイル内容を問い合わせるクエリが続くため、その組み合わせがあった場合は侵害を疑う必要があります。

なぜAIツールでこの種の脆弱性が繰り返されるのか

Langflowに限らず、2025年から2026年にかけてLiteLLMGlassWorm(npmサプライチェーン)Trivyなど、AI周辺のOSSで重大脆弱性が連続しています。共通する構造的な原因は3つあります。

第一に、AIアプリは「ユーザーの自然言語入力」「ユーザーがアップロードしたファイル」「外部APIの応答」といった、信用してはいけない入力を扱う面積が伝統的なWebアプリよりはるかに広いことです。今回のtar展開も、本来なら社内ドキュメントを取り込むための便利な機能でしたが、それが攻撃面に変わりました。

第二に、AIエージェント系ツールは「コードを書かずに何でもできる」を売りにするため、Python実行ノードのような強い権限を持つコンポーネントが標準搭載されています。本来は便利機能ですが、認証バイパスと組み合わさった瞬間にRCEの最後のピースになります。

第三に、AIブームに乗って急成長したOSSは、機能追加のスピードに対してセキュリティレビューが追いつきません。Langflowが立て続けにCVEを出しているのは、開発チームの怠慢というより、AI業界全体が「とりあえず動かす」段階のまま本番運用に入ってしまっている状況の反映でもあります。

同種の脆弱性は、自社で使っているOSSライブラリの依存関係を継続的にスキャンしないと検知できません。Langflow本体だけでなく、その内部で使っているtar展開ライブラリや認証ライブラリにも同じ穴が空く可能性があります。サプライチェーン側の点検は、本サイトのOSSサプライチェーン・スキャナーから、自社で使っているパッケージ群の現在のCVE状況をまとめて確認できます。

CISA KEVへの登録状況

2026年5月27日時点で、CVE-2026-7524はCISAのKnown Exploited Vulnerabilities(KEV)カタログには未登録です。ただし、過去のLangflow脆弱性であるCVE-2025-3248が公開後ほどなくしてKEV入りし、CVE-2026-33017は公開20時間で実際に攻撃が成立した経緯を踏まえると、CVE-2026-7524も近日中にKEV登録される可能性は十分にあります。

本サイトでは、Langflowを含めた攻撃中CVEの一覧と公式期限をCISA KEVダッシュボード(日本語版)で随時更新しています。KEV登録時には、日本の組織にとっての影響度と期限を即座に確認できます。

参照元