Sysdig

SCSK株式会社

ブログ

HOME Developer Square ブログ Langflow の CVE-2026-55255 を理解する:CVSS が高い脆弱性が必ずしも最も悪用されるとは限らない理由

Langflow の CVE-2026-55255 を理解する:CVSS が高い脆弱性が必ずしも最も悪用されるとは限らない理由

Sysdig TRTは、AIエージェント構築フレームワーク「Langflow」の脆弱性「CVE-2026-55255(IDOR、CVSS 9.9)」が実環境で初悪用された事例を報告しました。

アクターは同一インスタンスに対し、高スコアのIDORと、すでに広く悪用されている「CVE-2026-33017(RCE、CVSS 9.3)」を併用。しかし、攻撃の重心はRCEにありました。単一環境においてRCEはIDORの機能を包含し、認証不要で即座にホストを掌握できるため、攻撃者にとって労力対効果が高いためです。一方、IDORはランダムなフローIDの推測が必要で悪用が困難ですが、マルチテナント環境におけるサンドボックスの突破や、検知を避けたステルスな認証情報窃取において優位性を持ちます。

アクターは金銭目的の自動化スクリプトを用いており、ホストの計算資源(RCE)とAIコンポーネント内のAPIキー等の認証情報(IDOR・RCE)の双方の収益化を狙っていました。

詳細はこちら
ページトップへ