TLDR : Langflowでは、認証なしでのリモートコード実行を可能にする重大な脆弱性が発見されました。この脆弱性は現在バージョン1.3.0で修正されており、CISAの既知の悪用された脆弱性カタログに追加されました。即時のアップデートが推奨されています。
Horizon3.aiの研究者により、オープンソースのAIエージェント設計プラットフォームであるLangflowにおいて、重大な脆弱性が特定されました。CVE-2025-3248というコードで参照されるこの脆弱性は、認証なしでアクセス可能なエンドポイントを通じてリモートコード実行 (Remote Code Execution) を可能にするものです。原因は、ユーザーから提供されたコードに対する
exec()関数の直接的な使用で、制限やフィルタリングが行われていません。バージョン1.3.0で修正されたものの、米国サイバーセキュリティ&インフラストラクチャセキュリティ庁 (CISA) は、5月5日にこの脆弱性をその既知の悪用された脆弱性カタログ (KEV) に追加しました。2020年に設立され、2024年にDataStaxに買収されたLangflowは、言語モデル、API、データベースからAIエージェントや複雑なワークフローを作成するためのビジュアルインターフェースを提供しています。このローコードオープンソースツールは、技術コンポーネントを細かく制御しつつ、生成アプリケーションのプロトタイプを迅速に作成したい開発者を対象としています。プラットフォームのエンジンはLangChainに基づいており、RAG (retrieval-augmented generation) やマルチエージェントプロジェクトで人気を博しています。
コンポーネントをカスタマイズして拡張するために、Langflowはコードの検証エンドポイント「/api/v1/validate/code」を公開しています。これはユーザースクリプトのテストを容易にすることを意図していますが、アクセス制御やセキュアな環境 (サンドボックス) のない状態でPythonコードを直接実行する仕組みに基づいています。その結果、重大な脆弱性が生じました。認証なしで単純なHTTPリクエストにより、基盤となるサーバーを制御することが可能になります。
Horizon3.aiの攻撃研究チームによって明らかにされたこの脆弱性は、プロアクティブな脆弱性検出に特化しており、CVSS (Common Vulnerability Scoring System) のスケールで9.8/10という高評価を受けています。詳細な公開では、脆弱性を明らかにするだけでなく、概念実証を提供しており、技術的な広範な視聴者に具体的で理解しやすいリスクを提示しています。
推奨事項
公開に続き、CISAはセキュリティ警告を発し、政府機関や企業に対して、3月31日に公開されたバージョン1.3.0への即時アップデートを推奨しています。以前のバージョンは任意のコードが注入される可能性があります。
Horizon3.aiの研究者は、インターネット上に500以上のLangflowインスタンスが公開されていることを指摘し、次のように強調しています:
「一般的に、最近開発されたAIツールをインターネットに公開する際は注意が必要です。外部に公開する必要がある場合は、隔離されたVPC内に配置するか、SSOの背後に配置することを検討してください。これらのツールをクラウドインスタンス上にデプロイするだけで、違反が発生する可能性があります。」
Pour mieux comprendre
Langflowツールの主要なチェーンには何が使用されており、RAGプロジェクトで人気があるのはなぜですか?
Langflowは、プラットフォームのエンジンとしてLangChainを使用しており、言語モデル、API、データベースのシームレスな統合を可能にし、複雑なAIエージェントを作成するために特にRAG(情報検索による拡張生成)プロジェクトに適しています。
CISAの既知のエクスプロイトされた脆弱性(KEV)カタログとは何ですか、その役割は何ですか?
CISAのKEVカタログは、積極的に悪用されたセキュリティの脆弱性の公式登録です。その役割は、これらの重要な欠陥を集中化し際立たせ、エージェンシーや企業に対してセキュリティを強化するために優先的に適用すべき修正プログラムについて情報を提供しアドバイスすることです。