【要点】 ◎ LangflowのCSV Agentで危険なコードを許可する設定不備があり、外部公開環境ではプロンプト注入により任意コードやOSコマンド実行が可能となる (Security NEXT)

【要点】 ◎ Langflowの公開フローAPIに認証不要のコードインジェクション脆弱性が判明し、すでに悪用も確認されているとして早急な更新が求められた (Security NEXT)

【要点】 ◎Langflowに未修正のクリティカル脆弱性が判明し、トークン窃取やコード実行の恐れがあるため、当面は緩和策の実施が求められている。

【要点】 ◎Langflow では RCE 取得後に CLI 経由で superuser を作成でき、権限を完全に突破できる脆弱性がある。1.5.1 未満が影響し修正は未提供。

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/08/25 2025/08/19 CVE-2025-57760 NVD langflow-ai 8.8(CISA-ADP) CWE-269 CWE-269 - Langflow 【ニュース】 ◆「Langflow」に脆弱性、管理者権限を奪われるおそれ (Sec…