TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

アプリ: Langflow

CVE-2026-33017 (まとめ)

【ニュース】■2026年◇2026年3月 ◆「Langflow」の公開フローAPIに深刻なRCE脆弱性 - 悪用も確認 (Security NEXT, 2026/03/26) https://www.security-next.com/182585 ⇒ https://vul.hatenadiary.com/entry/2026/03/26/000000_1 ◇2026年6月 ◆Langflow RCE Vuln…

Langflow RCE Vulnerability Exploited to Deploy Monero Cryptominer on Exposed AI Servers

【要点】 ◎Langflowの重大RCE脆弱性CVE-2026-33017が悪用され、公開されたAIサーバへMoneroマイナーを展開する攻撃が確認された (gbhackers.)

CISA Adds Exploited Langflow and Trend Micro Apex One Vulnerabilities to KEV

【要点】 ◎CISAは、LangflowとTrend Micro Apex Oneの脆弱性をKEVへ追加した。両脆弱性は実際に悪用が確認されている (The Hacker News)

米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起

【要点】 ◎CISAは「Langflow」と「TrendAI Apex One」の脆弱性をKEVへ追加した。いずれも実際の悪用が確認されており、早急な対策が求められている (Security NEXT)

「Langflow」にプロンプトインジェクションによるRCE脆弱性

【要点】 ◎ LangflowのCSV Agentで危険なコードを許可する設定不備があり、外部公開環境ではプロンプト注入により任意コードやOSコマンド実行が可能となる (Security NEXT)

「Langflow」の公開フローAPIに深刻なRCE脆弱性 - 悪用も確認

【要点】 ◎ Langflowの公開フローAPIに認証不要のコードインジェクション脆弱性が判明し、すでに悪用も確認されているとして早急な更新が求められた (Security NEXT)

「Langflow」に未修正脆弱性、緩和策を - 報告者「修正が後回し」

【要点】 ◎Langflowに未修正のクリティカル脆弱性が判明し、トークン窃取やコード実行の恐れがあるため、当面は緩和策の実施が求められている。

Privilege Escalation via CLI Superuser Creation (Post-RCE)

【要点】 ◎Langflow では RCE 取得後に CLI 経由で superuser を作成でき、権限を完全に突破できる脆弱性がある。1.5.1 未満が影響し修正は未提供。

「Langflow」に脆弱性、管理者権限を奪われるおそれ

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/08/25 2025/08/19 CVE-2025-57760 NVD langflow-ai 8.8(CISA-ADP) CWE-269 CWE-269 - Langflow 【ニュース】 ◆「Langflow」に脆弱性、管理者権限を奪われるおそれ (Sec…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022