Langflowは早急な更新が必要ですか？

A. 早めの更新が必要と言えます。

Langflowでは、任意のPythonコードを実行できる脆弱性が確認されています。影響を受けるのは、バージョン1.8.1以前です。この問題は、サンドボックス化されていないフロー実行により、細工された単一のHTTPリクエストで悪用される可能性があります。

公表から20時間後には、実際の脅威活動で悪用されたことも確認されています。

その時点では概念実証コードはまだ公表されておらず、脅威アクターが先に悪用コードを用意していたことがうかがえます。

この事例は、研究者のサンプルコードがなくても悪用が始まる場合があることを示しています。

この脆弱性は、その後CISAのKEVにも登録されました。

対策としては、タイムリーに更新して対応しておくことが必要です。

👉 詳細のブログはこちら