出典: Security NEXT – https://www.security-next.com/178088
「Langflow」に未修正脆弱性、緩和策を – 報告者「修正が後回し」
「Langflow」に未修正脆弱性、緩和策を – 報告者「修正が後回し」
AIエージェントやワークフローの構築に活用されているプラットフォーム「Langflow」に深刻な脆弱性が判明した。緩和策の実施が呼びかけられている。デフォルト環境における対策は次期バージョンで導入される見込み。
異なるオリジン間でのリソース共有を制御する「Cross-Origin Resource Sharing(CORS)」の設定や、Cookie属性の処理における不備、CSRF対策の欠如などが存在し、トークンの窃取が可能となる脆弱性「CVE-2025-34291」が明らかとなったもの。奪取したトークンにより、「Langflow」が備えるコード実行機能を悪用されるおそれもある。
「Langflow」のインスタンスを侵害されたり、ワークスペース内に保存されているアクセストークン、APIキーなどシークレットが窃取されるほか、連携するサービスなどに影響が波及するおそれがあるという。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.4」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレ
