MENU

【最重大】CVE-2026-9135 IBM Langflowにおけるコードインジェクション脆弱性発覚 AI Security観点からバイブコーダー必読の対応手順

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: Critical (CVSS 9.9)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-17 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 5分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分〜環境による
STEP 4 修正を適用する 30分〜
STEP 5 修正されたことを確認する 5分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-9135はIBM Langflow OSS 1.9.2以前に、認証済みユーザーが任意のPythonコードをサーバ上で実行できる脆弱性です。LLMゲートウェイやAgenticフレームワークを運用するチームにとって最優先で対策すべきリスクです。

やさしく説明すると

この脆弱性は、言わば「玄関の鍵がかかっているはずなのに、裏口から合鍵を作られて自由に出入りされてしまう」状態です。LangflowというAIワークフロー作成ツールで、プログラムのルールを設定する部分に問題があり、悪意あるコードを隠せてしまいます。結果として、許可されていない細工をサーバ内部で走らせられ、予期しない操作や情報漏洩につながります。

技術的な原因

この脆弱性はCWE-94「コードインジェクション」に分類されます。具体的には、LangflowのPoliciesコンポーネント内のToolGuard統合部分で、allow_custom_components=falseというセキュリティ制御をバイパスしています。検証機構はnode_template[“code”][“value”]内のコードのみ検査しますが、動的に生成されるCodeInputフィールドのPythonコードを検証しません。攻撃者はこの未検証のフィールドに悪意のあるPythonコードを埋め込み、Flow.dataに永続化し、ToolGuard runtimeでツールを起動した際にサーバ側でそのコードが実行されます。

また、agentic MCPのupdate_flow_component_fieldツールにおいてuser_idパラメータを攻撃者が操作できるため、他テナントのフローに悪意あるコードを注入して権限昇格や横展開も可能です。さらにAUTO_LOGIN=trueやNEW_USER_IS_ACTIVE=trueの設定時は認証の壁が緩くなり、攻撃の敷居を下げます。

影響を受けると何が困るか

  • 認証済みユーザー権限で任意のPythonコード実行が可能になり、サーバが完全に侵害される
  • LLMやAgentフレームワークの機密情報やAPIキー(OpenAI/Anthropic等)が漏洩する
  • マルチテナント環境で他ユーザのフローを改ざんされ、プロンプトや処理を乗っ取られる
  • AI Gatewayの運用中断やサービス停止による業務影響
  • AgenticやMCP Serverを利用した自動化処理が悪用され、AIエージェントの乗っ取りや誤動作を誘発する
  • CursorやCline、GitHub Copilot等のAI駆動開発ツールへの悪影響
  • サーバ環境全体へ横展開し、インフラ全体に深刻な被害を及ぼす可能性がある

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディストリ利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 【最重大】

判断根拠

  • CVSS v3.1スコアは9.9でCritical(最重大)判定です。実務的には「サーバ管理者が即対応すべきレベルの危険度」です。
  • EPSS(悪用予測)が提供されていませんが、高CVSSは理論上の被害が甚大であることを示します。
  • ランサムウェア等の悪用報告は現時点で不明(Unknown)です。したがって即時のランサム警告はありません。
  • 公開PoCはGitHub上に存在せず、現時点での悪用コードは確認されていません。
  • 攻撃はネットワーク経由で実行可能で、低い権限(flow作成権限)でエクスプロイト可能です。ユーザ操作は不要でUI介入なしに攻撃できます。
  • スコープがChanged(変更)で、認証済み複数テナントに跨る攻撃も可能なため、影響範囲が広いです。

誰が動くべきか

  • Langflowを導入・運用しているAI/LLM Gateway運用チーム
  • Agenticフレームワーク開発者(MCP Serverなど)
  • Flowベースのワークフローを作成・管理しているSRE/SecOps
  • バイブコーダー開発者で、Langflowをカスタムコンポーネントとして組み込んでいる場合
  • AI駆動開発のためにCursor/Cline/Aider/GitHub Copilot等と連携している開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
IBM Langflow OSS 1.0.0 ~ 1.9.2 (commit 94981c443d4まで) 1.10.0 以降を推奨(詳細はベンダーアドバイザリ参照)

Python (pip)

pip show langflow

出力例:

Name: langflow
Version: 1.9.1
Summary: Langflow OSS

判定: バージョンが 1.9.2 以下なら脆弱。1.10.0以上で安全。

Python (pip list + grep)

pip list | grep langflow

出力例:

langflow                1.8.0

判定: 1.9.2より前なら脆弱。1.10.0以降で修正済み。

設定確認

この脆弱性はallow_custom_components=false という設定をバイパスしますが、根本原因は検証の不備です。設定依存ではないため、対象バージョンであれば脆弱です。設定が有効でも攻撃を防げません。

Nucleiテンプレートでの検出

現時点で公開されたNucleiテンプレートはありません。検出はバージョン確認で実施してください。

STEP 4: 修正を適用する

パッチ適用

ベンダーから正式にリリースされたパッチまたは新版にアップグレードしてください。Langflow OSSの場合は、少なくとも 1.10.0以降への更新を実施してください。

Python (pip) – Langflowのアップグレード例

pip install --upgrade langflow

出力例:

Successfully installed langflow-1.10.0

判定: バージョンが 1.10.0以上になれば安全。

注意: アップグレード前に現行環境のバックアップを必ず取得してください。特にFlow設定やデータは影響を受けやすいです。ステージング環境でアップグレード検証を推奨します。

パッチ即時適用ができない場合の暫定対応

公式の暫定的な設定変更やWAFルールは提示されていません。認証設定を強化し、不必要なAUTO_LOGINやNEW_USER_IS_ACTIVEオプションを無効にすることでリスクを減らせます。該当フローやユーザIDの異常な変更を監視してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを再度実行します。

期待される出力

Python (pip)

pip show langflow

出力例:

Name: langflow
Version: 1.10.0
Summary: Langflow OSS

判定: バージョンが 1.10.0以上ならOK。

Python (pip list + grep)

pip list | grep langflow

出力例:

langflow                1.10.0

判定: 1.10.0以上なら問題なし。

追加で確認すべきこと

バージョンアップ後は、Flowの改ざんや不審なユーザID変更ログを監視してください。Nucleiテンプレートは未公開のため、サードパーティ製ツールやベンダーのセキュリティツールによる検査も検討してください。

補足: 悪用観測状況

2026年7月時点でCVE-2026-9135に関し、公開されたPoC(Proof of Concept)や具体的な悪用報告は確認されていません。CISA KEVには登録済みですが、ランサムウェアなどの攻撃者による実際の悪用活動は未確認です。従って、直ちに爆発的な攻撃が広がっている状況ではありませんが、重要度が非常に高いため早急な対応が求められます。

補足: CVSSメトリクス詳細

  • AV (Attack Vector / 攻撃元): NETWORK(ネットワーク経由で攻撃可能)
  • AC (Attack Complexity / 攻撃の複雑さ): LOW(条件が簡単で攻撃が行いやすい)
  • PR (Privileges Required / 必要権限): LOW(低い権限で実行可能)
  • UI (User Interaction / ユーザ操作): NONE(ユーザの操作不要)
  • S (Scope / 影響範囲の変化): CHANGED(権限外アクセスやテナント間影響がある)
  • C (Confidentiality Impact / 機密性への影響): HIGH(機密情報が漏洩する恐れあり)
  • I (Integrity Impact / 完全性への影響): HIGH(システム・データの改ざんが可能)
  • A (Availability Impact / 可用性への影響): HIGH(サービス停止等が発生しうる)

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. STEP 3で影響を受けるバージョンを確認し、STEP 4でLangflowを1.10.0以上にアップグレードしてください。STEP 5で修正を適用したことを再確認することも必須です。

Q. パッチが適用できない場合、どうすればよいですか?

A. 設定でAUTO_LOGINやNEW_USER_IS_ACTIVEを無効にして認証強化を行い、フローの改ざん検知とログ監視を強化してください。公式の暫定対応策は未提示です。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. 不審なFlowやユーザーIDの変更履歴を調査し、サーバログを監査してください。現状PoCや悪用は確認されていませんが、初期侵入調査として重要です。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の理論的危険度を示しますが、EPSSは実際に攻撃に使われる確率を示します。両方を確認することで優先対応の判断がより正確になります。

Q. このCVEと類似の脆弱性は他にもありますか?

A. 同じコードインジェクション分類(CWE-94)の脆弱性は多数存在します。特にAI/LLM関連でカスタムコード実行に関わる部分は要注意です。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

2026-07-18 追記

本記事の公開後、以下の重要な変化が確認されました(公開からの経過: 0日)。

項目 公開時点 2026-07-18時点 変化の意味
新規GHSAアドバイザリ 0件 1件 新たなGitHub Security Advisoryが発行

新規GHSAアドバイザリの発行

本脆弱性(CVE-2026-9135)について、公開時点ではGitHub Security Advisory(GHSA)は存在しませんでしたが、2026-07-18時点で新たに1件のGHSAが発行されました。GHSAはOSSプロジェクトや開発者向けに公式なセキュリティ情報と対応指針を提供するものであり、ベンダー公表以外にOSSコミュニティ独自の調査・ドキュメントが加わることを意味します。

この変化により、今後GitHubリポジトリ経由でのアラート通知やDependabotによる警告、プロジェクト管理ツールでの脆弱性トラッキングが有効化される可能性が高くなります。Langflowを含むGitHub連携環境の運用者は、GHSAで明示される推奨対応や修正PR、影響範囲情報なども合わせて確認することを推奨します。特にCI/CDパイプラインやOSSサプライチェーン上で自動脆弱性検出を有効としている場合は、該当アドバイザリを早急にチェックし、必要なパッチや一時措置の適用を検討してください。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次