脆弱性対応ウォッチ重大・クリティカル脆弱性のクラウド別対応まとめ
最新CriticalHighAWSGCPAzureLinux
High CVSS 8.4 NEW KEV 悪用確認
CVE-2026-55255

Langflow 認可バイパス(IDOR による他ユーザー Flow 実行)

CVE IDCVE-2026-55255
製品Langflow / Langflow
CVSS8.4(High)
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L
種別 (CWE)CWE-639 ユーザー制御キーによる認可バイパス (IDOR)
登録/公開日2026/07/07
KEV 期限2026/07/10 まで(米国連邦機関向け目安)
推奨対応ベンダー指示に従って緩和策を適用(BOD 26-04 準拠)
出典https://nvd.nist.gov/vuln/detail/CVE-2026-55255

概要

Langflow(1.9.1 未満)の /api/v1/responses エンドポイントにおける IDOR。認証済み攻撃者が flow ID を指定して他ユーザーの Flow を実行できる。修正版は 1.9.1(後の改訂で 1.9.2)。

クラウド/OS 別の対応状況

各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。

環境対応状況対応方法・備考
AWS (ECS/EC2) パッチあり(アプリ更新)
EC2/ECS/EKS 上の Langflow を 1.9.1/1.9.2 以降へ更新
OSS の自己管理アプリ。AWS 固有の修正提供はなく利用者側で適用。
参照リンク
GCP パッチあり(アプリ更新)
GCE/GKE/Cloud Run 上の Langflow を修正版へ更新
GCP 固有の修正提供は確認できず。イメージを最新版で再ビルド/再デプロイ。
参照リンク
Azure パッチあり(アプリ更新)
Azure(VM/AKS/Container Apps)上の Langflow を修正版へ更新
Azure 固有の修正提供は確認できず。利用者側で適用。
参照リンク
Linux パッチあり(アプリ更新)
pip/コンテナイメージの Langflow を 1.9.1/1.9.2 以降へ更新
OSS アプリ。ディストリのパッケージではなく PyPI/コンテナの更新で対応。
参照リンク

解決の方向性(パッチ/回避策/代替)

Langflow を 1.9.1/1.9.2 以降へアップデートするのが確実。認証・テナント分離を強化し、外部公開を制限する回避策も併用可能。

免責: 本ページは CISA KEV・NVD・各ベンダー公式アドバイザリ等の公開情報をもとにした非公式まとめです。修正バージョンや対応可否は変更される場合があります。実際の対応は必ず 出典元および各ベンダー公式情報・自環境で確認してください。

« 一覧に戻る