Langflow の認証されていないアクセス

critical Nessus プラグイン ID 304684

Language:

概要

リモートホストは、認証されていないスーパーユーザーアクセスを許可する AI アプリケーションビルダーを実行しています。

説明

マルチエージェント型 AI アプリケーションを構築するためのビジュアルフレームワークである Langflow が、自動ログインを有効にした状態でリモートホストで実行されています (デフォルトでは、LANGFLOW_AUTO_LOGIN=True)。Nessus は、認証情報なしで /api/v1/auto_login エンドポイントからスーパーユーザーのアクセストークンを取得することでこれを確認しました。

Langflow のデフォルト設定は事実上、認証されていないリモートコードの実行です。Langflow の主な目的はフローノードでユーザー定義の Python コードを実行することであるため (サンドボックスなし)、API にアクセスできるすべてのユーザーはホストで任意のコードを実行できます。

追加の安全でないデフォルト設定は以下のようなリスクを高めます。

- CORS がすべての生成元を許可し、あらゆるドメインからのクロスサイトの悪用を可能にする

- SSRF 保護が無効化されており、フローが内部ネットワークサービスに到達する可能性がある

- アタックサーフェス全体のマッピングを含む、完全な OpenAPI 仕様が一般公開されている

ネットワークアクセス権を持つ認証されていない攻撃者が、以下を実行する可能性があります。

- スーパーユーザートークンを取得し、フローノードを介してホストで任意の Python コードを実行する

- 接続サービス用に保存されている認証情報と API キーにアクセスし、抽出する (LLM プロバイダー、クラウドデータベース、内部 API)

- AI フローを作成、変更、削除し、プロダクションパイプラインに悪意のあるロジックを挿入する

- ホストを足がかりに使用し、SSRF または直接コード実行を介して内部ネットワークにピボットする

- ユーザーを管理し、プラットフォーム全体でアクセスを昇格する

ソリューション

LANGFLOW_AUTO_LOGIN=False を設定し、デフォルトではないスーパーユーザーパスワードで認証を設定します。
認証を強制してアクセスを制限するリバースプロキシの後方に Langflow を配置します。SSRF 保護を有効にし、CORS 生成元を制限します。信頼できないネットワークに Langflow を直接公開しないでください。

参考資料

https://www.langflow.org/

プラグインの詳細

深刻度: Critical

ID: 304684

ファイル名: langflow_unauth_access.nbin

バージョン: 1.3

タイプ: Remote

ファミリー: Artificial Intelligence

公開日: 2026/4/2

更新日: 2026/4/13

サポートされているセンサー: Nessus

リスク情報

CVSS スコアの根本的理由: Default auto_login grants unauthenticated superuser access. langflow executes arbitrary python in flow nodes with no sandbox, making this effectively unauthenticated rce with full host compromise and lateral movement potential.