Asayomu Tech
注目★★★★CISA KEV

Langflow、認証済みユーザーが他人のワークフロー実行可能な脆弱性

30秒で把握

  • 1Langflow 1.9.2 未満に IDOR 脆弱性・認証済み攻撃者が他人のフロー ID 指定で無権限実行可能
  • 2CVSS 3.1 重大度・CISA 既知悪用脆弱性カタログ登録・政府機関は 7 月 10 日までに対応必須
  • 3アップデート不可の場合は使用停止・フロー実行ログの権限侵害痕跡を即確認

要約

Langflow 1.9.2 未満に認可回避脆弱性 (CVE-2026-55255) が存在し、認証済み攻撃者が被害者のフロー ID を指定することで他ユーザーのフローを実行可能になる。/api/v1/responses エンドポイントの不適切なオブジェクト参照 (IDOR) が原因で、権限分離が機能しない状態にある。CVSS 3.1 ベクトル (AV:N/AC:L/PR:L/S:C/C:H/I:H/A:L) により重大度が高く、CISA 既知悪用脆弱性カタログに登録されている。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。