Langflow CVE-2026-55255はAIワークフロー基盤の認可境界に関係するKEV対象脆弱性です。影響確認、更新、ログ保全、APIキー確認を実務手順で整理します。
何が起きたか
2026年7月7日、CISAは Langflow CVE-2026-55255 をKnown Exploited Vulnerabilities(KEV)カタログに追加した。CISA KEV JSONでは、BerriAI Langflowの「Authorization Bypass Through User-Controlled Key」と説明され、対応期限は 2026年7月10日 とされている。ransomware useは、現時点で公開情報から確認できる範囲では Unknown だ。
Langflow公式のGitHub Security Advisoryでは、Langflow 1.9.1未満が影響を受け、1.9.1以降が修正版とされている。内容は、AIワークフロー基盤でユーザー間のフロー実行権限が適切に分離されない可能性に関係する。
この記事では、公式アドバイザリに含まれる攻撃再現の詳細には踏み込まない。読者が行うべきことは、攻撃を試すことではなく、対象環境の有無、更新状況、外部公開、フロー所有権、ログ、LLM APIキーの影響範囲を確認することだ。
影響を受ける可能性がある組織・担当者
開発者・SRE
Langflowを検証環境、社内AIワークフロー、業務自動化、AIエージェント開発基盤として使っている場合、まず影響バージョンと公開範囲を確認する。Docker、pip、社内テンプレート、クラウド検証環境、PoC用インスタンスなど、正式な資産台帳に載りにくい環境も対象に含める。
情シス・SaaS管理者
部門主導でAIツールを導入している場合、管理者がLangflowの存在を把握していないことがある。誰が管理しているか、外部公開されているか、SSOやリバースプロキシで保護されているか、業務データやAPIキーを扱っているかを分けて確認する。
セキュリティ担当・CSIRT
更新完了だけで終わらせず、認可境界の不備があった期間に、他ユーザーのフロー実行、不自然なLLM API利用、想定外のプロンプト実行、外部連携の利用がなかったかを確認する。影響が疑われる場合は、証拠保全を優先する。
なぜ重要か
LangflowのようなAIワークフロー基盤には、LLM APIキー、プロンプト、業務データ、Webhook、DB接続、GitHubやSaaS連携が集まりやすい。認可境界が弱いと、単なる画面表示の問題ではなく、他ユーザーのフロー実行、外部API利用、ログや入力データの露出につながる可能性がある。
また、NVDではCNAスコアとしてHigh、GitHub Security AdvisoryではCriticalとして表示されており、スコア表記に差がある。実務では点数だけでなく、KEV登録、外部公開、保持データ、利用者数、APIキーの権限、監査ログの有無を合わせて優先度を決める必要がある。
まず確認すべきこと
- Langflowを使っている本番、検証、部門利用、個人検証、CI環境を棚卸しする。
- バージョンが1.9.1以降か、公式アドバイザリで示された修正版に到達しているか確認する。
- インターネットから到達できるか、VPN内か、社内限定か、検証環境のみかを分類する。
- フロー、ユーザー、ワークスペース、プロジェクト、APIキーの所有者と権限が分離されているか確認する。
- 共有フロー、テンプレート、外部公開リンク、Webhook、外部SaaS連携の有無を確認する。
- LLM APIキー、クラウドキー、DB接続情報、GitHub Tokenなど、Langflowから呼び出せる資格情報を一覧化する。
- 対象期間の監査ログ、アプリログ、プロキシログ、IdPログ、LLM利用量・課金ログを保全する。
- 不審なフロー実行、通常と異なる送信元、急な利用量増加、想定外のユーザー操作がないか確認する。
作業をそのまま進める場合は、AIワークフロー認可境界チェックリストを使う。CVE全般の優先度判断は、CVE初動対応チェックリストと合わせて確認する。
推奨される初動対応
やること
- 対象環境を公式情報で示された修正版へ更新し、更新前後のバージョンを記録する。
- 外部公開されているLangflowは、必要最小限の接続元、SSO、VPN、Zero Trust Accessなどに制限する。
- フロー所有者、共有設定、ワークスペース分離、管理者ロールを確認し、過剰な共有を一時停止する。
- 影響が疑われる期間のログを保全し、変更前にスクリーンショットや設定値を記録する。
- LLM APIキーや外部SaaSトークンは、削除だけでなく、所有者、利用先、失効・再発行時刻、影響アプリを記録する。
- 不審な実行やデータ露出が疑われる場合は、漏えい疑い初動テンプレートへ進む。
やらないこと
- 本番環境で攻撃再現やPoC実行をしない。
- 「ログに異常がない」と確認する前に、ログローテーションや設定削除をしない。
- 更新だけで完了にして、フロー共有、APIキー、外部連携の確認を省略しない。
- 公式情報で未確認の攻撃者名、被害規模、攻撃チェーンを社内外に断定しない。
記録すること
- 対象環境、担当者、利用部門、公開範囲、認証方式。
- 更新前後のバージョン、変更した設定、作業時刻、承認者。
- 確認したログソース、対象期間、不審操作の有無。
- 失効・再発行したAPIキー、影響を受けるアプリ、残る例外。
- 追加調査が必要なフロー、ユーザー、外部連携、次回確認日。
判断基準
| 状況 | 優先度 | 初動判断 |
|---|---|---|
| 外部公開、未更新、業務データやLLM APIキーを扱う | 高 | 更新、公開制限、ログ保全、APIキー確認を同日に進める |
| 社内限定だが複数部門が利用し、共有フローが多い | 中から高 | 更新と共有設定確認を優先し、フロー実行ログを確認する |
| 検証環境のみでサンプルデータ、外部連携なし | 中 | 更新し、本番相当のキーやデータが混入していないか確認する |
| 不審なフロー実行、APIキー利用、課金増加がある | 高 | CSIRTへエスカレーションし、証跡保全と影響調査に進む |
関連するCyberLens内部リンク
- AIワークフロー認可境界チェックリスト:LangflowなどのAI基盤で、認可、共有、ログ、APIキーを確認する。
- AIプロキシ・LLM APIキー漏えい確認チェックリスト:LLM APIキーとプロキシログの確認に使う。
- CVE初動対応チェックリスト:CVE公開後の対象確認と優先度判断に使う。
- 認証と認可の違い:ログインできることと操作してよいことを分けて理解する。
- Langflow CVE-2025-34291がKEV追加:LangflowのCORS・セッション管理を確認する関連記事。
- AI開発基盤とLiteLLM周辺リスク:AI基盤に集まる資格情報とサプライチェーンリスクを確認する。
- SBOMとOSVで学ぶ依存関係確認:依存関係と脆弱性情報の照合作業を練習する。
公式情報・参考情報
- GitHub Security Advisory: GHSA-qrpv-q767-xqq2
- NVD: CVE-2026-55255
- CISA Known Exploited Vulnerabilities Catalog: CVE-2026-55255
- CISA KEV JSON feed
まとめ
Langflow CVE-2026-55255は、AI基盤の「使えるか」ではなく「誰がどのフローを実行できるか」を確認する問題だ。更新、公開制限、ログ保全、APIキー棚卸し、フロー共有の見直しを同じチケットで進めると、後から説明できる初動対応になる。
まずは AIワークフロー認可境界チェックリスト で対象環境を整理し、必要に応じて 漏えい疑い初動テンプレート へ進む。