JVNDB-2026-015654

langflowにおけるパストラバーサルの脆弱性

Langflowは、AI搭載のエージェントとワークフローを構築および展開するためのツールです。バージョン1.9.0以前のLangflowには、Knowledge Bases API（DELETE /api/v1/knowledge_bases）においてパストラバーサルの脆弱性が存在します。この脆弱性は、ユーザーから提供されたナレッジベース名が適切にサニタイズや境界検証されずにファイルパスに直接連結されることによって発生します。認証済みの攻撃者はこの脆弱性を悪用して、サーバーのファイルシステム上の任意のディレクトリを削除できるため、データ損失やサービスの中断を引き起こす可能性があります。この脆弱性はバージョン1.9.0で修正されています。

langflow

• langflow 1.9.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Path Traversal in Knowledge Bases API via Bulk Delete Endpoint  Advisory  langflow-ai/langflow  GitHub

1. パス・トラバーサル(CWE-22) [その他]

1. CVE-2026-42048

1. National Vulnerability Database (NVD) : CVE-2026-42048

• [2026年05月15日]
    掲載