MENU

【高】CVE-2026-7755 IBM LangflowのMCPサーバ設定ファイルに起因するリモートコード実行脆弱性対策ガイド for バイブコーダー

  • URLをコピーしました!

AI Security速報をXで配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加などの更新情報を見逃したくない方は、Xをフォローしてねー!

Xでフォローする

本記事は公開時点の情報をもとにした速報記事です。内容が更新される場合があるため、必要に応じてベンダー公式情報や一次情報もあわせて確認してください。

目次

結論

  • 危険度: High (CVSS 8.8)
  • 対象: (詳細はベンダーアドバイザリ参照)
  • 修正: ベンダーアドバイザリ参照
  • KEV: No (NVD Critical由来。CISA KEVには未登録)
タイトルの緊急度プレフィックス(【至急】【最重大】等)の意味
表記 条件 意味 対応目安
【至急/ランサム悪用】 CISA KEV登録 + ランサムウェア悪用観測 ランサムグループが現在進行形で悪用 本日中に対応開始
【至急/重大】 CISA KEV登録 + CVSS 9.0以上 実世界で攻撃観測あり + スコア極めて高い 本日中に対応開始
【重大/KEV登録】 CISA KEV登録(CVSS低またはNVD未反映) 実世界で攻撃観測あり 数日以内
【最重大】 CVSS 9.5以上(KEV未登録) 理論上の危険度ほぼ満点、攻撃観測はまだない 1週間以内に対応計画
【重大】 CVSS 9.0〜9.4(KEV未登録) Critical帯の理論的高リスク 1〜2週間以内
【高】 CVSS 7.0〜8.9(KEV未登録) High帯のリスク 計画的に対応
(プレフィックスなし) CVSS 7.0未満 Medium以下のリスク 通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-07-17 | 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP やること かかる目安
STEP 1 何が起きているか理解する 3分
STEP 2 急ぎ対応すべきか判断する 3分
STEP 3 自分の環境が対象か確認する 5分〜
STEP 4 修正を適用する 環境による
STEP 5 修正されたことを確認する 3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-7755はIBMのLangflow OSS 1.0.0から1.10.0までに存在する脆弱性で、MCPサーバの設定ファイル検証不足により攻撃者がリモートコード実行(RCE)をできます。この脆弱性はLLMゲートウェイ運用者にとって最優先対応です。

やさしく説明すると

例えば、ネットワーク越しに玄関の鍵が甘い家があります。攻撃者はその鍵をこじ開けるように、設定ファイルの検証が不十分な部分を突いて勝手に命令を送り込めます。すると、家の中の機器を自由に操作されてしまいます。同じくLangflowのMCPサーバが相手です。

技術的な原因

この脆弱性は、MCP(Management Control Protocol)サーバの設定ファイルに対する検証制御の不備によるものです。検証不足とは「不完全なバリデーション」が原因で、本来は受け付けるべきでないコードやデータが通ってしまうためです。CWE(共通脆弱性分類)の観点では「不完全な入力検証」に該当し、リモートコード実行(RCE)を許す典型的なバグです。

影響を受けると何が困るか

  • 管理APIやMCPサーバを攻撃者が乗っ取り、リモートコード実行できる
  • LLMコンテキストや顧客データが盗まれる可能性がある
  • プロンプトインジェクションを使ったエージェント制御の乗っ取りリスク
  • MCPサーバ経由でモデルやRAG(Retrieval-Augmented Generation)データが改ざんされる
  • 請求コストが爆増するなど運用リスク
  • テナント間の情報漏洩やAI Gateway全体の横展開が起きる
  • CursorやCline等、AIコーディングツール利用時にローカルファイル読み取りや任意コード実行の危険性
  • IDE拡張などのリモート操作につながる可能性
  • 環境変数(.env)や認証情報の漏洩

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ 情報源 言語 何が分かるか リンク
総合 NVD(米国 NIST) 米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。 開く
総合 MITRE CVE CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。 開く
総合 JVN iPedia(JPCERT/CC・IPA) 日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。 開く
総合 CISA KEV(悪用観測カタログ) 米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。 開く
総合 GitHub Advisory Database OSSパッケージ(npm/pypi/maven/composer/go等)別の脆弱性アドバイザリ。修正PRへのリンクが豊富。 開く
総合 OpenCVE 複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。 開く
Linux Red Hat CVE Red Hat製品(RHEL/CentOS Stream/Rocky/AlmaLinux系)の影響評価とパッチ状況。 開く
Linux Ubuntu Security Ubuntu の影響評価。各Ubuntuバージョン(22.04/24.04等)でのパッチ提供状況が一目で分かる。 開く
Linux Debian Security Tracker Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。 開く
Linux SUSE CVE SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。 開く
悪用 Exploit Database 公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。 開く
悪用 Packet Storm Security セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。 開く
悪用 GitHub PoC 検索 GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。 開く
悪用 X(Twitter)検索 日英 直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。 開く
スキャナ Snyk Vulnerability DB パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。 開く
スキャナ Tenable(Nessus) Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。 開く
スキャナ Rapid7(Metasploit/Nexpose) Metasploit悪用モジュール、Nexposeでの検出情報。 開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります(特にJVN iPediaは日本国内で報告された脆弱性のみ掲載)。

STEP 2: 急ぎ対応すべきか判断する

結論: 高

判断根拠

  • CVSSスコアは8.8で高リスク。ネットワーク経由で低権限でもリモートコード実行されるため、実務上は迅速対応が望ましい。
  • EPSSスコアは公開されていないため、現時点での悪用頻度は不明。
  • ランサムウェア悪用の確認は現状「Unknown」であり、確証なし。
  • 公開PoC(攻撃検証コード)は存在せず、現場での攻撃はまだ報告されていない。
  • 攻撃にユーザ操作は不要。攻撃複雑度は低く、認証は低権限で十分。
  • 検証はMCPサーバの設定ファイル読み込み処理に限定され、環境によって条件が異なる可能性あり。

誰が動くべきか

  • Langflow OSSを利用し、MCPサーバを運用しているエンジニアや運用チーム
  • LLM Gateway運用者やAgentフレームワークを取り扱うSRE/SecOpsチーム
  • AI駆動開発を行い、Cursor/Cline/GitHub CopilotなどのAIコーディングツールと連携させているバイブコーダー開発者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品 脆弱なバージョン範囲 修正版
IBM Langflow OSS 1.0.0 ~ 1.10.0 ベンダーアドバイザリ参照

バージョン確認コマンド

Python(pip)

pip show langflow

出力例:

Name: langflow
Version: 1.10.0
Summary: IBM Langflow OSS

判定: Version1.0.0~1.10.0 の場合は脆弱。修正版が出ていればそれ以上を適用すること。

Python(pip list grep)

pip list | grep langflow

出力例:

langflow            1.10.0

判定: 1.0.0~1.10.0 なら脆弱。

設定確認

本脆弱性はMCPサーバの設定ファイル検証の不備に依存しているため、特定の設定を変更することで回避できるという情報は現時点でありません。したがって、設定の有無に関わらず、脆弱なバージョンを使っていればリスクがあります。

Nucleiテンプレートでの検出

本件について公開されたNucleiテンプレートは確認されていません。検出はバージョン確認で対応してください。

STEP 4: 修正を適用する

パッチ適用

Python環境(pipによるアップグレード)

pip install --upgrade langflow

判定: アップデート後に langflow のバージョンが修正版以上になっていれば完了。

注意: パッチ適用前に環境のバックアップとステージング環境での検証を必ず行ってください。運用環境でのダウンタイム計画も忘れずに。

パッチ即時適用ができない場合の暫定対応

公式の暫定対応は現時点で示されていません。可能ならばMCPサーバへのネットワークアクセスを制限し、不要なポート開放を閉じてください。また、監査ログを強化し不審なアクセスを検知できるようにすることを推奨します。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを、修正後にもう一度実行してください。

期待される出力

Python(pip)

pip show langflow

出力例:

Name: langflow
Version: 1.11.0
Summary: IBM Langflow OSS

判定: バージョンが 1.10.1 以上(ベンダー指定の修正版)なら安全です。

Python(pip list grep)

pip list | grep langflow

出力例:

langflow            1.11.0

判定: 1.10.1 以上ならOK。

追加で確認すべきこと

  • 公開されているNucleiテンプレートがないため再スキャンは不要ですが、今後公開されれば必ず実行してください。
  • サーバログや監査ログに不審なアクセスがないか確認し、疑わしい操作履歴が無いことを確かめてください。

補足: 悪用観測状況

現在、CISAの悪用観測カタログ(KEV)には登録されていません。また、公開されたPoCコードやエクスプロイトもありません。ランサムウェアによる悪用も未知です。そのため、現時点では攻撃の実例は報告されていませんが、CVSSの高さから早期の対策を強く推奨します。

補足: CVSSメトリクス詳細

  • AV(攻撃元): NETWORK – 攻撃者はネットワーク越しに攻撃可能
  • AC(攻撃複雑度): LOW – 攻撃は容易
  • PR(必要権限): LOW – 低権限でも攻撃可能
  • UI(ユーザ操作): NONE – ユーザの操作不要
  • S(スコープ): UNCHANGED – 影響範囲が限定されている
  • C(機密性影響): HIGH – 秘密情報が漏洩する
  • I(完全性影響): HIGH – データ改ざんやシステム破壊の可能性
  • A(可用性影響): HIGH – サービス停止など業務影響が大きい

よくある質問(FAQ)

Q. このCVEに対応するために最低限すべきことは何ですか?

A. STEP 3で自分の環境のバージョンを確認し、脆弱なバージョンならSTEP 4でパッチを適用し、STEP 5で適用完了を検証してください。

Q. パッチが適用できない場合、どうすればよいですか?

A. MCPサーバへのアクセス制限や監査ログの強化などの暫定対応を行い、公式パッチの提供を待つことを推奨します。

Q. 既に攻撃を受けているか確認する方法はありますか?

A. 攻撃に関する公開情報はまだありませんが、ログに不審なリモートコード実行の兆候がないかを重点的に監視してください。

Q. なぜEPSSスコアが重要なのですか?

A. CVSSは脆弱性の理論的な危険度で、EPSSは「実際に悪用される確率」を示します。両方を見て優先度を正しく判断します。

Q. このCVEと類似の脆弱性は他にもありますか?

A. MCPサーバの設定ファイル検証不足によるRCEは他の製品でも類似問題が発生しています。CWE分類の「不完全な入力検証」カテゴリーを参照してください。

参考文献

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

2026-07-18 追記

本記事の公開後、以下の重要な変化が確認されました(公開からの経過: 0日)。

項目 公開時点 2026-07-18時点 変化の意味
新規GHSAアドバイザリ 0件 1件 新たなGitHub Security Advisoryが発行

新規GHSAアドバイザリの発行

本脆弱性(CVE-2026-7755)について、公開直後に新たなGitHub Security Advisory(GHSA)が発行されたことが確認されました。GHSAはGitHub上で脆弱性管理を行う際に重要な公式情報源であり、多くのOSSプロジェクトや利用者が参照しています。

GHSAの発行によって、依存関係を管理している開発環境では自動通知機能や警告が有効化され、脆弱性の早期認知や優先的な対策検討が促進されます。運用者や開発者は、自らのプロジェクトが影響を受けるかGHSAの内容を確認し、必要に応じて早期にアップデートや追加対策を計画してください。

AI Security速報を継続配信しています!!

AI/LLM関連の脆弱性、PoC、KEV追加、海外アドバイザリなどを X で配信してるので、ぜひフォローをお願いします!

@ai_sec_news_256 をフォロー

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次