つみかさね

CVE-2026-7803

Critical(9.8)

IBM Langflow OSSのコード実行 CVE-2026-7803:影響範囲と対応方法

公開日: 2026-07-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
IBM Langflow OSSIBM1.0.0〜1.10.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1IBM Langflow OSS のバージョンを確認する(pip show langflow)
  2. 21.0.0〜1.10.0を使用している場合、IBMサポートページで修正バージョンを確認する
  3. 3修正バージョンへのアップデートを実施する
  4. 4同日公開の5件のCritical全件への対処を推奨する

影響対象

IBM Langflow OSS 1.0.0〜1.10.0利用者

補足

  • -CVE-2026-7873(CVSS 9.9)ほか同日5件のCriticalが公開されています。詳細はCVE-2026-7873ページを参照してください
CVEIBM LangflowRCEコード実行AIプラットフォーム

30秒で判断

対応すべき人:

  • IBM Langflow OSS 1.0.0〜1.10.0 を使用している

対応不要な人(skipIf):

  • IBM Langflow を使用していない
  • 修正済みバージョン(1.10.0より新しいバージョン)を使用している

確認コマンド:

pip show langflow | grep Version

概要

IBM Langflow OSS 1.0.0〜1.10.0 において、コンポーネントタイプフィールドが欠落または空のフローノードの検証が不十分であることにより、任意コード実行が可能になる脆弱性(CWE-20: 入力バリデーション不備)です。

本CVEは同日公開された IBM Langflow の5件のCritical脆弱性のひとつです。詳細・対応方法は CVE-2026-7873 の解説を参照してください。

CVE IDCVSS概要
CVE-2026-78739.9認証済みによるOSコマンド実行・機密ファイル読み取り
CVE-2026-78039.8フローノード検証不備による任意コード実行(本ページ)
CVE-2026-78719.8Redisアクセス権限を通じた任意コード実行
CVE-2026-76639.1未認証MCPリソースアクセス・操作実行
CVE-2026-78749.1弱い鍵導出による保存済み認証情報の全件開示

影響を受けるソフトウェア

製品ベンダー影響バージョン
IBM Langflow OSSIBM1.0.0〜1.10.0

修正バージョンと対応

IBMサポートページ(https://www.ibm.com/support/pages/node/7278445)で提供される修正バージョンまたはパッチを適用してください。


関連リンク


データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。