B
今週中
AIエージェント構築プラットフォームのLangflowにおいて、深刻な脆弱性(CVE-2025-34291)
📌 一言でいうと
AIエージェント構築プラットフォームのLangflowにおいて、深刻な脆弱性(CVE-2025-34291)が発見されました。Origin検証の不備とCORS設定の不備により、攻撃者がユーザーのセッション情報を奪取し、リモートコード実行(RCE)やアカウント乗っ取りを行う可能性があります。既に実環境での攻撃が確認されており、影響を受けるユーザーは速やかに最新バージョンへアップデートすることが推奨されています。
🔍該当判定
- AIエージェント作成ツール「Langflow」を自社サーバーやクラウドにインストールして利用している
- Langflowを利用しており、バージョンが最新版にアップデートされていない
- Langflowの設定で、外部からのアクセスを許可する設定(CORS設定のallow_origins='*'など)を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるバージョンのLangflowを直ちに最新バージョンにアップデートしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Langflow CVE-2025-34291 対応について
お疲れさまです。Langflowの深刻な脆弱性に関する情報共有です。
■ 概要
LangflowにおいてOrigin検証の不備およびCORS設定の不備による脆弱性(CVE-2025-34291)が報告されました。CVSS v3.1 スコアは 8.8 と高く、攻撃者がユーザーのアクセストークンを奪取することで、アカウントの乗っ取りやリモートコード実行(RCE)が行われる危険性があります。既に実環境での悪用が確認されています。
■ 影響範囲
- 対象製品: Langflow
- 影響を受けるバージョン: 最新バージョン未満(詳細なバージョンは公式アドバイザリを確認してください)
■ 対応手順
1. 自社環境でLangflowを利用しているか確認する
2. 利用している場合、直ちに最新バージョンへアップデートを適用する
■ 参考情報
- ThaiCERT / CSA Singapore アドバイザリ
対応優先度: 高
対応期限: 至急
お疲れさまです。Langflowの深刻な脆弱性に関する情報共有です。
■ 概要
LangflowにおいてOrigin検証の不備およびCORS設定の不備による脆弱性(CVE-2025-34291)が報告されました。CVSS v3.1 スコアは 8.8 と高く、攻撃者がユーザーのアクセストークンを奪取することで、アカウントの乗っ取りやリモートコード実行(RCE)が行われる危険性があります。既に実環境での悪用が確認されています。
■ 影響範囲
- 対象製品: Langflow
- 影響を受けるバージョン: 最新バージョン未満(詳細なバージョンは公式アドバイザリを確認してください)
■ 対応手順
1. 自社環境でLangflowを利用しているか確認する
2. 利用している場合、直ちに最新バージョンへアップデートを適用する
■ 参考情報
- ThaiCERT / CSA Singapore アドバイザリ
対応優先度: 高
対応期限: 至急
Subject: [Urgent] Remediation for Langflow CVE-2025-34291
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in Langflow.
■ Overview
A critical vulnerability (CVE-2025-34291, CVSS v3.1: 8.8) has been identified in Langflow. Due to origin validation errors and permissive CORS configurations, an attacker can steal session tokens, potentially leading to account takeover and Remote Code Execution (RCE). This vulnerability is reported to be exploited in the wild.
■ Scope
- Product: Langflow
- Affected Versions: Versions prior to the latest security patch
■ Remediation Steps
1. Identify all instances of Langflow within the corporate environment.
2. Immediately update Langflow to the latest available version.
■ Reference
- ThaiCERT / CSA Singapore Security Advisory
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing critical information regarding a vulnerability in Langflow.
■ Overview
A critical vulnerability (CVE-2025-34291, CVSS v3.1: 8.8) has been identified in Langflow. Due to origin validation errors and permissive CORS configurations, an attacker can steal session tokens, potentially leading to account takeover and Remote Code Execution (RCE). This vulnerability is reported to be exploited in the wild.
■ Scope
- Product: Langflow
- Affected Versions: Versions prior to the latest security patch
■ Remediation Steps
1. Identify all instances of Langflow within the corporate environment.
2. Immediately update Langflow to the latest available version.
■ Reference
- ThaiCERT / CSA Singapore Security Advisory
Priority: High
Deadline: Immediate