30秒で判断
対応すべき人:
- IBM Langflow OSS 1.0.0〜1.10.0 を使用している
- かつ Redis に複数のユーザーがアクセスできる環境で運用している
対応不要な人(skipIf):
- IBM Langflow を使用していない
- 修正済みバージョン(1.10.0より新しいバージョン)を使用している
- Redis へのアクセスが Langflow プロセスのみに厳格に制限されている
確認コマンド:
pip show langflow | grep Version
概要
IBM Langflow OSS 1.0.0〜1.10.0 において、Redisアクセス権を持つユーザーがアプリケーションのフル権限で任意コードを実行でき、すべてのシークレット・データ・システムの整合性が危険にさらされる脆弱性(CWE-502: 信頼できないデータのデシリアライゼーション)です。
本CVEは同日公開された IBM Langflow の5件のCritical脆弱性のひとつです。詳細・対応方法は CVE-2026-7873 の解説を参照してください。
| CVE ID | CVSS | 概要 |
|---|---|---|
| CVE-2026-7873 | 9.9 | 認証済みによるOSコマンド実行・機密ファイル読み取り |
| CVE-2026-7803 | 9.8 | フローノード検証不備による任意コード実行 |
| CVE-2026-7871 | 9.8 | Redisアクセス権限を通じた任意コード実行(本ページ) |
| CVE-2026-7663 | 9.1 | 未認証MCPリソースアクセス・操作実行 |
| CVE-2026-7874 | 9.1 | 弱い鍵導出による保存済み認証情報の全件開示 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| IBM Langflow OSS | IBM | 1.0.0〜1.10.0 |
修正バージョンと対応
IBMサポートページ(https://www.ibm.com/support/pages/node/7278443)で提供される修正バージョンまたはパッチを適用してください。
回避策: Redis へのアクセスを Langflow プロセスのみに厳格に制限する(ネットワークACLやRedisの認証強化)。
関連リンク
データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
