つみかさね

CVE-2026-7871

Critical(9.8)

IBM Langflow OSSのRedis経由コード実行 CVE-2026-7871:影響範囲と対応方法

公開日: 2026-07-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
IBM Langflow OSSIBM1.0.0〜1.10.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1IBM Langflow OSS のバージョンを確認する(pip show langflow)
  2. 21.0.0〜1.10.0を使用している場合、IBMサポートページで修正バージョンを確認する
  3. 3修正バージョンへのアップデートを実施する
  4. 4Redisへのアクセス権限を最小権限に制限することを検討する

影響対象

IBM Langflow OSS 1.0.0〜1.10.0利用者LangflowのRedis統合を使用している環境

補足

  • -CVE-2026-7873(CVSS 9.9)ほか同日5件のCriticalが公開されています。詳細はCVE-2026-7873ページを参照してください
CVEIBM LangflowRCERedisAIプラットフォーム

30秒で判断

対応すべき人:

  • IBM Langflow OSS 1.0.0〜1.10.0 を使用している
  • かつ Redis に複数のユーザーがアクセスできる環境で運用している

対応不要な人(skipIf):

  • IBM Langflow を使用していない
  • 修正済みバージョン(1.10.0より新しいバージョン)を使用している
  • Redis へのアクセスが Langflow プロセスのみに厳格に制限されている

確認コマンド:

pip show langflow | grep Version

概要

IBM Langflow OSS 1.0.0〜1.10.0 において、Redisアクセス権を持つユーザーがアプリケーションのフル権限で任意コードを実行でき、すべてのシークレット・データ・システムの整合性が危険にさらされる脆弱性(CWE-502: 信頼できないデータのデシリアライゼーション)です。

本CVEは同日公開された IBM Langflow の5件のCritical脆弱性のひとつです。詳細・対応方法は CVE-2026-7873 の解説を参照してください。

CVE IDCVSS概要
CVE-2026-78739.9認証済みによるOSコマンド実行・機密ファイル読み取り
CVE-2026-78039.8フローノード検証不備による任意コード実行
CVE-2026-78719.8Redisアクセス権限を通じた任意コード実行(本ページ)
CVE-2026-76639.1未認証MCPリソースアクセス・操作実行
CVE-2026-78749.1弱い鍵導出による保存済み認証情報の全件開示

影響を受けるソフトウェア

製品ベンダー影響バージョン
IBM Langflow OSSIBM1.0.0〜1.10.0

修正バージョンと対応

IBMサポートページ(https://www.ibm.com/support/pages/node/7278443)で提供される修正バージョンまたはパッチを適用してください。

回避策: Redis へのアクセスを Langflow プロセスのみに厳格に制限する(ネットワークACLやRedisの認証強化)。


関連リンク


データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。