Langflow(AIアプリ構築ツール)に重大な脆弱性(CVE-2025-34291)— 不正なCORSとトークンでコード実行のおそれ
LLM/AIワークフローを視覚的に構築できる人気ツール「Langflow」に、オリジン検証の不備(過度に緩いCORS設定+SameSite=NoneのリフレッシュトークンCookie)があり、悪意あるWebページが認証情報付きのクロスオリジン要求を成立させてトークンを奪い、最終的にコード実行・システム全体の侵害につながりうる。CISAは悪用確認済み(KEV)として掲載(CVSS 8.8 High)。
脆弱性の基本情報
- CVE番号CVE-2025-34291
- CVSS基本値8.8 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Langflow Langflow
- CWECWE-346
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-04(米連邦民生機関・BOD 22-01)
要点
CVE-2025-34291は、Langflow(LLMやAIエージェントのワークフローを視覚的に組み立て・実行できる人気のオープンソースツール)に存在するオリジン検証エラー(CWE-346)の脆弱性だ。CISAのKEV(悪用が確認された脆弱性)カタログに2026年5月21日付で追加された。
NVDの説明によれば、(1)過度に緩いCORS(クロスオリジン・リソース共有)設定と、(2)SameSite=None に設定されたリフレッシュトークンのCookie、という二つの設定が組み合わさることが原因だ。これにより、ユーザーが悪意あるWebページを開くと、そのページがユーザーの認証情報(Cookie)を含むクロスオリジン要求を行い、Langflowのトークン再発行(リフレッシュ)エンドポイントを呼び出せてしまう。結果として攻撃者は、認証済みエンドポイントにアクセスできるトークンを手に入れ、任意コードの実行とシステム全体の侵害に至りうる。
この脆弱性が重要なのは、対象がAIアプリケーションを「作る」ための基盤ツールだという点だ。AI開発の現場で使われるツール自体が悪用確認済みとしてKEVに載ったことは、AIインフラ(開発・実行基盤)も明確な攻撃対象になっていることを示す。
【対応の要点】ベンダー(Langflow)公式の指示に従って緩和策・修正を適用する。クラウドで利用している場合はBOD 22-01の手順に準拠し、緩和策が利用できない場合は使用中止も選択肢になる。インターネットに公開しているLangflowは特に優先度が高い。連邦民生機関の是正期限は2026年6月4日。
なぜ重要か
AIアプリ構築ツールがKEV入りした事例で、AIインフラ自体が攻撃対象であることを示す。社内でLangflow等のAI開発ツールを使う組織は、バージョン確認と公開範囲の見直し、トークン・認証設定の点検が要点。
よくある質問(FAQ)
Langflowとは何ですか?
なぜ危険なのですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。