脆弱性の概要
オープンソースのAIエージェント構築フレームワーク「Langflow」に、CVSSスコア9.3の重大な未認証リモートコード実行(RCE)脆弱性CVE-2026-33017が発見された。この脆弱性はPOSTエンドポイント /api/v1/build_public_tmp/{flow_id}/flow に存在し、認証なしで攻撃者が制御するフローデータ内の任意のPythonコードが exec() でサンドボックスなしに実行される。これにより、サーバー上のファイルアクセス、認証情報の窃取、リバースシェルの展開が可能となる。影響を受けるのはバージョン1.8.2以前のすべてのバージョンで、開発版1.9.0.dev8で修正されている。
公開から悪用までの経緯
セキュリティ研究者Aviral Srivastava氏が2026年2月26日にこの脆弱性を発見し、3月17日にアドバイザリが公開された。注目すべきは、Srivastava氏が過去の脆弱性CVE-2025-3248の修正パッチを分析する過程で、同じ脆弱性クラスが別のエンドポイントに残存していることを発見した点である。公開からわずか20時間以内に実際の攻撃が確認され、クラウドセキュリティ企業Sysdigの脅威研究チームが悪用を観測した。特筆すべきは、公開時点でPoC(概念実証コード)が存在しなかったにもかかわらず、攻撃者がアドバイザリの記述だけから実用的なエクスプロイトを構築した点である。
攻撃の実態と影響
Srivastava氏によれば、この脆弱性の悪用は「極めて容易」であり、悪意あるJSONペイロードを含む単一のcurlコマンドまたはHTTP POSTリクエストで即座にRCEが達成できる。Sysdigの観測では、攻撃者は自動スキャンから始まり、/etc/passwd の抽出やIPアドレス 173.212.205[.]251:8443 からのペイロード配信を行うカスタムPythonスクリプトへと進化させており、組織的な認証情報の収集活動が行われていたことが示唆されている。窃取された認証情報やキーは、接続されたデータベースやサプライチェーンへの侵害に悪用される可能性がある。
CISAの対応と推奨される対策
CISAは3月25日にCVE-2026-33017をKEV(Known Exploited Vulnerabilities)カタログに追加し、連邦機関に対して2026年4月8日までの修正を義務付けた。推奨される対策としては、最新のパッチ適用済みバージョンへの即時アップデート、公開されたインスタンス上の環境変数やシークレットの監査、キーおよびデータベースパスワードのローテーション、不審な外部接続の監視、ファイアウォールや認証付きリバースプロキシによるネットワークアクセスの制限が挙げられている。AI関連ツールが攻撃の標的となるケースが増加しており、Langflowを利用している組織は速やかな対応が求められる。