つみかさね

CVE-2026-7873

Critical(9.9)

IBM Langflow OSSのOSコマンド実行 CVE-2026-7873:影響範囲と対応方法

公開日: 2026-07-04データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
IBM Langflow OSSIBM1.0.0〜1.10.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1IBM Langflow OSS のバージョンを確認する(pip show langflow)
  2. 21.0.0〜1.10.0を使用している場合、IBMサポートページで修正バージョンを確認する
  3. 3修正バージョンへのアップデートを実施する
  4. 4アップデートが困難な場合は、Langflowインスタンスへのネットワークアクセスを信頼できるネットワークのみに制限する

影響対象

IBM Langflow OSS 1.0.0〜1.10.0利用者AI開発環境でLangflowを使用するエンジニア

補足

  • -CVE-2026-7663は未認証でも影響するため、ネットワーク露出を最小化することが重要です
  • -同日公開の5件のCriticalすべてに対処するため、可能な限り速やかにアップデートを推奨します
CVEIBM LangflowRCEコマンドインジェクションAIプラットフォーム

30秒で判断

対応すべき人:

  • IBM Langflow OSS 1.0.0〜1.10.0 を使用している
  • Langflow をネットワーク経由でアクセス可能な状態で運用している

対応不要な人(skipIf):

  • IBM Langflow を使用していない
  • Langflow を外部からアクセスできない隔離環境のみで使用している

確認コマンド:

# Langflowのバージョン確認
pip show langflow | grep Version
# または
langflow --version

概要

IBM Langflow OSS 1.0.0〜1.10.0 において、認証済みの攻撃者が任意のOSコマンドを実行し、認証情報を含む機密ファイルを読み取ることができる脆弱性(CWE-94: コードインジェクション)です。完全なシステム侵害とラテラルムーブメントが可能になります。

LangflowはビジュアルなフローベースのAIアプリ構築ツールであり、多くのAI開発環境で使用されています。本脆弱性は認証を必要とするものの、Langflowインスタンスへのアクセス権を持つ内部ユーザーや認証情報を取得した攻撃者が影響を及ぼすことができます。

なお、同日IBM Langflowには計5件のCriticalが公開されています:

CVE IDCVSS概要
CVE-2026-78739.9認証済みによるOSコマンド実行・機密ファイル読み取り
CVE-2026-78039.8フローノード検証不備による任意コード実行
CVE-2026-78719.8Redisアクセス権限を通じた任意コード実行
CVE-2026-76639.1未認証MCPリソースアクセス・操作実行
CVE-2026-78749.1弱い鍵導出による保存済み認証情報の全件開示

CVSSベクトル

項目意味
Attack Vector (AV)N (Network)ネットワーク経由で攻撃可能
Attack Complexity (AC)L (Low)特殊条件不要
Privileges Required (PR)L (Low)低権限で攻撃可能(認証ユーザー)
User Interaction (UI)N (None)ユーザー操作不要
Scope (S)C (Changed)スコープ変更あり
Confidentiality (C)H (High)機密情報の完全漏洩
Integrity (I)H (High)データの完全改ざん可能
Availability (A)H (High)システム完全停止可能

影響を受けるソフトウェア

製品ベンダー影響バージョン
IBM Langflow OSSIBM1.0.0〜1.10.0

修正バージョンと回避策

修正: IBMサポートページ(https://www.ibm.com/support/pages/node/7278441)で提供される修正バージョンまたはパッチを適用してください。

回避策:

  • Langflowインスタンスへのネットワークアクセスを最小権限原則に基づいて制限する
  • 信頼できるユーザーのみがLangflowにアクセスできるように認証設定を強化する
  • 多要素認証(MFA)の導入を検討する

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。